RGPD: Han cambiado los hábitos de las empresas tras un año de la entrada en vigor
Explicamos el alcance de la transformación que ha supuesto el RGPD, Reglamento General de Protección de Datos, para el mundo empresarial en su primer año de vigencia.
- Las empresas se han dedicado a adaptarse y a cumplir con los requisitos del RGPD y el añadido de la nueva LOPDPGDD. Esto ha supuesto algunos cambios en su forma de proceder.
- El RGPD, además, exige que se tomen medidas de protección y prevención, que las empresas sean proactivas. Ese es el siguiente paso.
Desde la llegada del RGPD se tiene que pensar en la protección desde el propio diseño. Es necesario hacer un análisis de riesgo y tomar las medidas necesarias para la protección de los datos personales. La figura del responsable de tratamiento o el Delegado de Protección de Datos se han vuelto claves en las diferentes organizaciones para plantear cómo debe ser la seguridad de dichos datos, pero también para concienciar a todo el mundo respecto a este tema.
Un año de adaptación, concienciación y cambios en la protección de datos personales
El último año en las empresas ha sido un año duro en lo que a protección de datos se refiere. A pesar de tener dos años para adaptarse, una gran parte de ellas lo hizo durante los últimos días del período, al menos en lo que a petición de consentimientos se refiere. No hay más que recordar la avalancha de correos volviendo a solicitar dicho consentimiento a sus clientes.Se podrían sacar algunas conclusiones respecto al año transcurrido:
- Gran carga de trabajo para las empresas, especialmente para aquellas que no comenzaron con la adaptación previamente. Los cambios eran tan importantes respecto a la legislación anterior que suponen tareas añadidas, (como los análisis de riesgos), nuevas categorías de datos especialmente protegidos (como los biométricos) o tomar medidas de seguridad adicionales para evitar pérdidas de datos.
- Cumplir con los consentimientos ha supuesto, en muchos casos, tener que realizar una limpieza en bases de datos de clientes y pérdida de algunos contactos. Esto destaca el aspecto positivo de tener una base más depurada y con contactos verificados.
- La implantación de estas medidas, el cambio en los mensajes de aceptación del tratamiento de datos o los nuevos derechos de los usuarios también beneficia a las empresas que han experimentado mejoras en la transparencia y reputación de las compañías, en lo que al tratamiento de datos personales se refiere.
- Por último, los grandes beneficiados son los clientes, que ahora se encuentran más protegidos y han ganado nuevos derechos, como la limitación del tratamiento o el de portabilidad.
No basta con cumplir, las empresas deben ser proactivas
Pero el gran reto que tienen las empresas a partir de ahora no es solo cumplir con el RGPD, sino dar el siguiente paso y ser proactivas en la protección. Esto exige un mayor conocimiento de los aspectos legales, tecnológicos, económicos, etc. Ello reclama más formación para el responsable del tratamiento de datos y más dedicación para cumplir con la prevención y limitación de los riesgos de la empresa.Por eso la figura del delegado de protección de datos cobra más relevancia. No todas las empresas están obligadas a disponer de esta figura, pero sí está claro que este especialista puede ayudar a muchas empresas a mejorar su protección. Recordemos que no basta con cumplir, sino que en caso de un incidente será la empresa la que tenga que demostrar que puso todos los medios para evitar un problema en la seguridad de los datos.
Por este motivo las organizaciones más pequeñas externalizan este trabajo en especialistas con los que colaboran mano a mano. Se deben realizar auditorías del sistema, tener un plan para enfrentarse a una brecha de seguridad o realizar evaluaciones de impacto en el caso de introducir nuevas aplicaciones o cambios en la gestión de los datos.
Por último, las empresas tendrán que empezar a reservar una parte de su presupuesto para mejorar su seguridad y la de los datos de sus clientes. El año que viene Windows 7 finaliza su soporte de actualizaciones de seguridad. Esto implica que, si dejamos un equipo con este sistema y tenemos un incidente que comprometa los datos, se entenderá que la empresa no ha cumplido con su deber de protección.
Las sanciones, el motor del cambio para evitar que recaigan sobre la empresa
Hasta ahora la AEPD ha sido bastante cauta en la aplicación de sanciones, a pesar incluso de que las reclamaciones con la llegada del RGPD hayan aumentado. Es algo habitual, al situar la protección de datos en los medios y en temas de actualidad. Pero la realidad es que pasado un año puede que empecemos a ver alguna sanción que sea muy mediática, sobre todo por la cuantía de la misma.Porque es muy fácil cometer algún error en la protección de datos, ya sea en su recogida, por una mala política interna de uso de dichos datos o por malas redacciones de los términos y condiciones de páginas web. Pero también por no tener un sistema adecuado contra ataques informáticos o una trazabilidad para evitar robos o alteraciones en las bases de datos.
Hay que tener en cuenta que la multa máxima que se puede recibir es un 4% de la facturación anual global o 20 millones de euros, la que sea mayor. Está claro que una pyme no recibiría la misma sanción que una empresa como Facebook, pero ambas tienen que tomar las medidas adecuadas en función de sus riesgos. Porque se puede recibir una multa incluso en el caso de que no se produzca una pérdida real de datos.
Fuente: Sage