De acuerdo con un reciente estudio a escala global, elaborado por Instituto de
Investigación de Capgemini, tan sólo el 28% de las organizaciones afirman estar
cumpliendo con el RGPD (Reglamento Europeo de Protección de Datos), mientras
que un 30% considera estar cerca de conseguirlo.
Concretamente, la tasa de cumplimiento española es una de las más bajas de todos
los países analizados, con un 21%.
Conviene recordar que el incumplimiento de esta normativa puede acarrear sanciones
administrativas de hasta 20 millones de euros, o el 4% de la facturación anual.
De hecho, el primer año de vigencia del RGPD, ya se ha saldado con con multas
millonarias y un notable incremento en el número de reclamaciones.
En esta guía, te proponemos una serie de claves y pasos, para verificar la correcta
aplicación del RGPD en tu empresa.
Adecuación de la cultura corporativa
Todo cambio normativo está fundamentado en una serie de principios de carácter general. En este caso, el nuevo RGPD ha sido la respuesta del legislador europeo a la evolución de las nuevas tecnologías digitales y, en especial, al uso de los datos de carácter personal en Internet.
Esta información puede ser utilizada para múltiples propósitos, y sus titulares deben estar adecuadamente informados y protegidos. Sólo así se puede garantizar el respeto a sus derechos.
Eso es algo que todos los trabajadores y directivos de tu empresa deben interiorizar.
Análisis de riesgo de la seguridad de la información
El propio RGPD establece que los responsables del tratamiento de los datos deben llevar a cabo un análisis de riesgos de la seguridad de los mismos.
Este proceso tiene el propósito de establecer las medidas de seguridad y control oportunas, para garantizar la protección de los derechos de las personas.
Hay que tener presente que la transformación digital genera un constante cambio en los procesos operativos internos. Por ese motivo, la gestión del riesgo debería concebirse como una labor de constante supervisión.
Establecimiento de medidas de seguridad y notificación
Como ya hemos señalado, el análisis de riesgos y la evaluación de su impacto sobre la protección de datos debe traducirse en la adopción de medidas.
- En primer lugar, se han de establecer las medidas de seguridad que garanticen que la recogida, tratamiento y conservación de los datos no puedan verse comprometidas por un ciberataque u otro tipo de amenaza para la seguridad de la información.
- Y en segundo lugar, se han de prever mecanismos para cumplir con la obligación de notificación pública en un plazo de 72 horas, en aquellos casos en los que haya tenido lugar una violación de la seguridad.
Revisión de los consentimientos
El RGPD tiene una carácter retroactivo respecto a todos aquellos consentimientos obtenidos de manera previa a su entrada en vigor.
Por esa razón, se debe revisar todos estos consentimientos y, en caso necesario:
- Enviar toda la información referente a las nuevas políticas de uso y los derechos de los usuarios.
- Recabar nuevamente el consentimiento cuando sea necesario.
Posible nombramiento de un Delegado de Protección de Datos
El RGPD regula en diversos preceptos -especialmente en su art. 37- la obligatoriedad de nombrar un Delegado de Protección de Datos (DPD). Los supuestos podrían resumirse de la siguiente manera:
- Por un lado, las administraciones públicas.
- Por otro lado, las empresas que se dedican a la observación de personas por medios físicos -videovigilancia-, o por medios informáticos -empresas de marketing digital.
- Por último, los grandes hospitales y entidades que tratan datos de carácter personal a “gran escala”.
Ahora bien, el concepto de “gran escala” ha sido desarrollado por la nueva LOPD (Ley Orgánica de Protección de Datos), que establece la obligatoriedad del nombramiento de un DPD, en función de un listado de actividades, y con independencia del número de empleados o facturación que tenga.
Obtención de la acreditación del cumplimiento del RGPD
El Considerando (79) del RGPD establece que “el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento”.
Es decir, hay que estar en disposición de acreditar el cumplimiento normativo, para lo cual hay diversas alternativas:
Códigos de conducta
Por un lado, el art. 24.3 indica que: “La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento.”
No obstante, estos mecanismos no son obligatorios; por lo que te sugerimos una segunda alternativa en la siguiente sección.
Documentación interna y evidencias de los Sistemas de Gestión
Para acreditar el cumplimiento normativo, también es posible presentar la documentación interna que se haya generado durante el análisis de riesgos, y el consiguiente establecimiento de medidas de control.
Esta documentación revestirá la forma de:
- Protocolos internos.
- Contratos de encargado del tratamiento de los datos.
- Cláusulas de información.
- Evaluaciones de impacto sobre la protección de datos.
- Registros de actividades de tratamiento.
Así mismo, esta documentación puede completarse con todo tipo de evidencias del correcto funcionamiento de las medidas de control en los Sistemas de Gestión.
Desplegar la solución tecnológica acorde a los requerimientos normativos
Finalmente, te recomendamos desplegar una solución digital que te garantice el cumplimiento normativo, de una manera ágil y eficiente.
La plataforma de gestión y seguimiento del consentimiento de los datos que ofrecemos en Asentify te proporciona la total trazabilidad del uso e intercambio que tu empresa haga de los datos personales de sus clientes y usuarios.
Además, se integra con facilidad en el resto de sistemas de tu organización, por lo que su adopción tendrá lugar rápidamente.
