Faltan menos de 100 días para que entre en vigor el Reglamento General de Protección de Datos (RGPD), el 25 de mayo de 2018.
El GDPR o RGPD supone el mayor cambio en la ley de protección de datos para toda una generación. Las multas por infracciones del reglamento podrían resultar hasta 20 millones de euros o el 4% de la facturación global, y sin embargo, la mayoría de empresas aún tienen mucho trabajo por hacer.
Sólo el 38% han escuchado hablar acerca del GDPR y tan sólo una cuarta parte ha realizado cambios para cumplir con las exigencias que supone.
Aún hay tiempo para prepararnos. En DCD te damos estos consejos para que te asegures de que tu empresa está lista antes de la fecha de implementación del nuevo reglamento europeo.
Contenidos
- 1 Comprendiendo el RGPD
- 2 Identifica y documenta los datos que tienes
- 3 Revise las prácticas actuales
- 4 Verificar procedimientos de consentimiento
- 5 Asignar responsables para la protección de datos
- 6 Establecer procedimientos para reportar infracciones
- 7 Derechos respecto de sus datos personales
- 8 Crear conciencia
- 9 Crear un plan de implementación de cumplimiento del RGPD
- 10 Considera utilizar herramientas para el RGPD
Comprendiendo el RGPD
El Reglamento General de Protección de datos fue adoptado por el Parlamento Europeo en el mes de abril de 2016 con el fin de actualizar las normas de protección de datos debido a las preocupaciones existentes sobre el uso de la información personal. Es aplicable a todos los datos procesados dentro de la UE y a los datos sobre temas de la UE utilizados por empresas ajenas al sindicato.
El Reglamento entrará en vigor el 25 de mayo de 2018.
Se aplica a responsables y a encargados del tratamiento, y comprende las normas existentes que con este cambio se verán reforzadas, así como una serie de nuevos derechos para los titulares de los datos.
Identifica y documenta los datos que tienes
Se debe realizar una investigación exhaustiva de los datos que almacenas actualmente e identificar cualquier dato personal o confidencial, dónde está guardado , cómo se procesa y quién tiene acceso a él. Es importante documentar esta información lo más exhaustivamente posible.
Un nivel de mantenimiento mínimo comienza por tener un listado inicial de todos los datos personales de la empresa.
Revise las prácticas actuales
En DCD recomendamos a las empresas demostrar responsabilidad en todas sus actividades de procesamiento de datos y siempre de manera transparente.
Hay que verificar cómo fluyen los datos dentro y fuera de la UE, y prestar especial atención a las prácticas que involucran datos de menores de edad, ya que el RGPD ha reforzado significativamente los requisitos de seguridad en cuanto al procesamiento de edad, la verificación de edad y el consentimiento para dicha información.
La Agencia Española de Protección de Datos (AGPD) ha proporcionado documentación para ayudar a las empresas para la llegada del nuevo reglamento.
Verificar procedimientos de consentimiento
En el RGPD, el consentimiento para cualquier procesamiento de datos debe ser específico, granular y auditable. Además, el consentimiento debe ser fácil de entender.
Los nuevos requisitos para el consentimiento podrían obligar a algunas empresas a solicitar nuevamente permisos para el uso de sus datos. Es necesario revisar los procesos actuales y establecer cuándo se necesita el consentimiento y cómo se debe proporcionar para garantizar que se cumplan todas las obligaciones.
Hay que mantener los registros claros de todos los registros tomados, establecer mecanismos de eliminación de datos directos y revisar de forma regular los procedimientos para mantenerse al día con los cambios en las actividades de procesamiento.
Asignar responsables para la protección de datos
Es necesario contar con un Delegado de Protección de Datos (DPO) para instituciones públicas y empresas que realizan seguimiento a gran escala de personas o datos relacionados con condenas y delitos penales.
En las empresas que no sea preciso un DPO sí lo será designar a un individuo responsable de la protección de datos que ayudará a mantener el cumplimiento del nuevo reglamento.
En DCD recomendamos que las empresas designen a una persona que actúe como punto de contacto con la autoridad competente en materia de protección de datos (APD) y un DPO para garantizar la conformidad de todas las operaciones de procesamiento.
Establecer procedimientos para reportar infracciones
Hay que implementar procesos para detectar, investigar y reportar infracciones y desarrollar un plan interno de respuestas. Cuando exista una posible violación de datos, las pruebas pueden garantizar que tus procedimientos son efectivos.
Derechos respecto de sus datos personales
Es importante estar seguros de que todos los procedimientos son los adecuados para que los interesados ejerzan los derechos que se contemplan en el RGPD. Estos derechos incluyen el deber a estar informado; libre acceso; posibilidad de rectificación; derecho a restringir el procesamiento; posibilidad de portabilidad de datos; derecho a objetar y a no estar sujeto a la toma de decisiones automática, incluida la elaboración de perfiles; y posibilidad de borrar sus datos (derecho al olvidado).
Se debe tener en cuenta cómo responder a cualquier solicitud de las citadas para implementar todos estos derechos, quién debería ser el responsable, qué sistemas se requerirán para respaldarlos y cómo garantizar que la información se proporcione en un formato comúnmente utilizado.
Establecer un marco de evaluación de riesgos es una forma sensata de administrar la privacidad de los datos y garantizar el compliance.
Crear conciencia
El RGPD requiere protección de privacidad de forma deliberada y por defecto. Las mejores prácticas para la gestión de la información debe integrarse en toda empresa.
Todos los integrantes de la empresa deben comprender los requisitos del GDPR y sus responsabilidades individuales para garantizar el compliance.
El Director responsable de la protección de la intimidad (Chief Privacy Officer) en la empresa ayuda a todos los empleados a tomar conciencia.
Crear un plan de implementación de cumplimiento del RGPD
Después de establecer las políticas y prácticas que deben modificarse, hay que establecer un plan para implementar los cambios necesarios.
En DCD te recomendamos priorizar los recursos, el soporte, qué capacidades necesita y en qué nivel para poder ubicarlo dentro de las tareas de la empresa.
Considera utilizar herramientas para el RGPD
Las compañías de software interesadas en sacar provecho del RGPD están lanzando herramientas para ayudar a las empresas a comprender el riesgo de incumplir con el RGPD.
Ninguna herramienta garantiza 100% que las prácticas de los datos estén en orden, pero algunas pueden ser de gran ayuda para preparar a tu empresa. Existen herramientas de detección de datos, sistemas de gestión de consentimiento, kits de herramientas de autoevaluación y plataformas integrales de gestión de datos.