Las empresas saben que deben instaurar una serie de medidas para evitar las millonarias multas de GDPR. Sin embargo, lo realmente efectivo es instaurar una cultura de protección de datos que implique a todos los empleados.
Ya ha pasado más de un año desde que el Reglamento Europeo de Protección de Datos (GDPR) se convirtiese en una norma de obligado cumplimiento. Las organizaciones que no han implantado los cambios pertinentes pueden verse enfrentadas a multas de hasta el 4% del volumen de ingreso anual, o 20 millones de euros, lo que resulte mayor.
Así todo, según un informe de DLA Piper que recoge los ocho primeros meses de la normativa, queda patente que todavía queda mucho camino por recorrer en la adaptación a este nuevo Reglamento, pues solo el 29% de las organizaciones han implementado los cambios necesarios.
Por otra parte, datos más recientes aportados por Fellowes explican que en España el 13% de los españoles no cumple con alguno de los protocolos a lo que obliga GDPR en su puesto de trabajo. Además, este informe señala que el 10% de los trabajadores no ha recibido información sobre las nuevas medidas que deben aplicar en actividad diaria en las empresas con el nuevo Reglamento.
De esta forma, podemos afirmar que la mayoría de las organizaciones todavía no han comprendido el nuevo enfoque corporativo que viene a significar la implantación de la normativa europea, pues ya no se trata de cumplir con unas medidas de seguridad básicas, sino de entender la privacidad de los datos como una prioridad, implantando herramientas diferentes en cada caso y contado con los expertos necesarios.
Al fin y al cabo, con GDPR debe entenderse que hay que instaurar una cultura de protección de datos que implique al 100% de la organización y no solo ceñirse a cumplir con protocolos de seguridad. La concienciación y la formación a los empleados es una clave que no puede ser olvidada por las empresas y, para ello, ha de designarse un Delegado de Protección de Datos (DPO) que ayude a llevar la tarea de la forma adecuada, ayudando a entender a la plantilla que el nuevo enfoque corporativo es preservar la confianza de los clientes. Es decir, proteger sus datos personales, uno de los mayores activos de este siglo.
Instaurar una cultura de protección de datos puede resultar una tarea simple si se cumple con una serie de claves:
Conocer la situación de la empresa frente a GDPR
Cada organización trata con diferentes tipos de datos, por lo que antes de ponerse a implantar medidas según las ya construidas con la antigua LOPD, lo primero será empezar de cero. Los viejos modelos respondían a unas necesidades diferentes a las que pide GDPR, por lo que la mejor práctica no será reconstruirlos, sino redefinirlos.
La AEPD ha puesto a disposición de los interesados una serie de herramientas para determinar las necesidades de cada empresa en cuanto al tratamiento de datos personales, como una lista de verificación que determinan el grado de cumplimiento o el programa ‘Facilita RGPD’, que ayudará a conocer la situación de la organización en cuanto al tratamiento de los datos.
Además de esto, como decíamos, será necesario analizar los riesgos de cada empresa, pues serán diferentes según su actividad. Para cumplir con esta tarea, será de gran ayuda realizar un inventario de datos personales que identifiquen a clientes, trabajadores, proveedores, usuarios y empleados, entre otros. También se deberán tener en cuenta los ficheros o aplicaciones que guardan la información, los servidores y el período de conservación de los datos. Además, debe ponerse en conocimiento de los responsables de tratamiento de la información la necesidad de utilizar herramientas de borrado seguro, ya que suprimir un documento electrónico y vaciar la papelera no constituye una medida de seguridad. Con la información en papel ocurre lo mismo, ya que una eliminación no adecuada puede provocar fugas de información.
La herramienta ‘Facilita RGPD’ ayudará también en esta gestión del riesgo, ya que advertirá a la empresa si se encuentra dentro de alguno de los factores especiales de riesgo que marca la normativa europea, como por ejemplo las compañías que tratan con datos de salud, datos políticos, religiosos, de sindicatos, datos que revelen datos éticos o raciales, etc. Así como las empresas que realizan o analizan perfiles, o se dedican a la prospección comercial masiva, entre otros factores.
Crear una nueva estrategia de protección de datos
Para crear una cultura de protección de datos en una organización debe crearse la figura del DPO. Además, si la empresa es grande, pueden delegarse funciones y obligaciones a alguno de los trabajadores, creando así “embajadores” de protección de datos dentro de cada departamento. De esta forma, no solo se revisaría sistemáticamente el cumplimiento normativo, sino que también se podría llevar a cabo una tarea de concienciación al grueso de la plantilla de la empresa sobre una correcta gestión de los datos. Tanto en el tratamiento como en la prevención de fugas de información, representada en una política de buenas prácticas.
Además, una vez la empresa haya determinado los riesgos a los que se enfrenta, debe revisar las medidas de seguridad y establecer nuevos mecanismos y procesos para realizar los debidos planes de actuación y contingencia. Así como un proceso de notificación que cumpla con los plazos establecidos por GDPR.
En conclusión, la estrategia de una empresa en este nuevo panorama normativo debe afianzarse convirtiendo la privacidad de los datos en una ventaja competitiva, a sabiendas de que la reputación puede verse fortalecida a ojos de clientes y ciudadanos si una organización entiende la importancia de mantener seguros los datos personales. No solo como una forma de evitar multas, sino como una oportunidad de fidelizar a los usuarios.
