Más privacidad para los ciudadanos; más obligaciones para las empresas
Este viernes 25 será de obligado cumplimiento el RGPD, que prevé sanciones de hasta 20 millones de euros o el 4% de la facturación mundial
Bilbao
Este viernes 25 de mayo es la fecha clave. A partir de ese día, será de obligado cumplimiento el nuevo Reglamento General de Protección de Datos europeo (RGPD), que eleva considerablemente los estándares de protección. Los usuarios ganan en derechos, al tiempo que para empresas e instituciones se multiplican las obligaciones.
Aunque el reglamento fue aprobado hace dos años y hemos tenido ese periodo para concienciarnos, sensibilizarnos y preparar las organizaciones, diferentes estudios cifran en torno al 60 por ciento de las empresas las que todavía no han hecho nada o poco al respecto de la adecuación. Las razones son varias, como apunta Julio Zorrilla, gerente del Grupo Datcon-Norte, especialista en protección de datos certificado por AENOR. "Muchas no se han movido por desconocimiento; otras porque creen que el RGPD no les afecta; y otras porque necesitan todavía ese “periodo de tiempo emocional” para asumir que nos encontramos ante un importante cambio, sobre todo, de mentalidad".
Asumido, por lo tanto, que no habrá régimen transitorio, que la mayoría de las empresas no se ha adaptado y que las sanciones previstas ante incumplimientos son muy elevadas (20 millones de euros o el 4% de la facturación mundial en los casos más graves), ¿qué esperan los expertos que ocurra a partir del 25 de mayo? "La propia Agencia Española de Protección de Datos ha afirmado que las nuevas exigencias se “aplicarán con flexibilidad pero con rigor”, opina Zorrilla, "pero, ojo, no se trata de empezar el 25 de mayo, sino que en esa fecha ya se debería estar cumpliendo".
¿Por dónde empezar? ¿Cómo sé si me afecta el RGPD? Son preguntas que se hacen estos días las empresas. "Cualquier entidad, empresa o autoridad pública deberá cumplir con el RGPD", explica el gerente de Grupo Datcon-Norte. Pero, las más afectadas, aquellas que realicen tratamiento de datos deberán cumplir estos apartados:
1. El registro de actividades de tratamiento: ¿Sabemos los datos que tratamos y cómo los tratamos? El RGPD obliga a llevar un registro de actividades de tratamiento con una información mínima.
2. El cumplimiento del principio de responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que se preocupan de los datos que tratan. No es suficiente un cumplimiento formal: hay que demostrarlo día a día.
3. La revisión de los consentimientos y de las cláusulas de información. Los consentimientos por silencio o por defecto ya no son válidos. Ahora tienen que ser específicos para finalidades concretas. Además, ahora hay que informar de algunos nuevos aspectos del tratamiento. Esto exige una revisión de las cláusulas de información y de las formas de recogida de los consentimientos.
4. La revisión de las relaciones y contratos con terceros con acceso a datos. La elección de un encargado de tratamiento es, en sí misma, una responsabilidad, pues debe reunir unas condiciones mínimas y recogerlas en un contrato. Más que nunca debe revisarse y actualizarse la relación de encargados de tratamiento de las organizaciones.
5. La realización de análisis de riesgos. El nuevo RGPD se enfoca sobre la base del riesgo de los tratamientos. "Aunque según la Agencia Española de Protección de Datos, el 75% de las empresas españolas tienen datos de riesgo bajo, éstas tienen que ser conscientes de cuáles pueden ser sus riesgos a la hora de tratar datos; y aquí, por cierto, el tamaño no importa sino la categoría de los datos y sus circunstancias", explica Zorrilla.
6. La creación de procedimientos para la notificación de brechas de seguridad. Si la organización sufre una “brecha de seguridad” habrá que notificarla a la Agencia Española de Protección de Datos a las 72 horas de haber tenido conocimiento. "Esto exige crear un procedimiento de detección e identificación de las incidencias, así como su gestión y comunicación y por supuesto, subsanación".
7. La satisfacción de los nuevos derechos: limitación y portabilidad (además de los ya existentes). Nuevos derechos cuya petición debe atenderse. Las empresas deberán tenerlo previsto.
Todas estas acciones que debe realizar una empresa para adaptarse al RGPD son muchas y desconocidas para la mayoría. El asesoramiento especializado se convierte en una necesidad. "En Grupo Datcon-Norte tenemos asesoramiento experto debidamente acreditado y actualizado para ayudar a las empresas en este camino", cuenta su gerente.