Después de mucho tiempo hablando de la nueva legislación europea en materia de protección de datos, el famoso GDPR, llega la hora de la verdad. El próximo 25 de mayo, las empresas e instituciones que operan en la Unión Europea deberán tener sus sistemas de información y sus procesos preparados para proteger mejor los datos de carácter personal que atesoran de clientes, proveedores o empleados.
Y es que, de no hacerlo, las multas pueden llegar a ser de escándalo: hasta 20 millones de euros o el 4% de la facturación global de la compañía. Hasta la fecha, la sanción más elevada contemplada en España para casos de fuga de información personal era de 600.000 euros.
Las nuevas obligaciones
Conviene recordar algunas de las nuevas obligaciones que tendrán las empresas y organismos a partir del 25 de mayo. Así, por ejemplo, deberán tener el consentimiento reforzado y expreso del usuario para poder captar y procesar su información personal. Asimismo, tendrán que informar de brechas de seguridad en un plazo mínimo de tiempo. Los proveedores de Internet deberán facilitar la portabilidad de los datos y el derecho al olvido. Por su parte, las empresas que gestionen un volumen alto de información sensible deberán nombrar un delegado o DPO, que se encargará exclusivamente de estos temas.
Aunque muchas empresas, sobre todo las grandes, ya se han puesto manos a la obra para llegar al 25 de mayo con los deberes hechos, hay demasiadas compañías que todavía están empezando o incluso que no han iniciado siquiera esta transición. Para ellas, vamos a hacer algunas recomendaciones.
Los portales más interesantes
Lo primero, y para enterarse bien de qué va todo esto y cuáles son los plazos y objetivos que marcan a nivel europeo la transición a la nueva legislación de protección de datos, aconsejamos visitar el portal EUGDPR.org, de la propia Unión Europea. Está bien estructurado y presenta la información básica de forma muy clara y resumida. Además, se acompaña de material de vídeo y de informes donde se explican las implicaciones para compañías y para los distintos sectores de la nueva legislación en materia de protección de datos.
Sin embargo, para ir más al detalle y adaptarse al contexto nacional, conviene mirar bien la página de la Agencia Española de Protección de Datos (AEPD), que tiene un portal exclusivamente dedicado al tema. En este sitio hay información básica, como el propio reglamento europeo traducido al español y guías generales de adaptación. En una infografía, la AEPD resume muy bien los pasos que las compañías deben dar para ponerse al día en esta materia. Es una buena hoja de ruta.
Lo más interesante lo han subido los responsables de la AEPD recientemente. Se trata, por ejemplo, de una Guía de análisis de riesgos que ayuda a las compañías a identificar cuáles son los aspectos que deben cuidar para cumplir con la normativa. Recoge igualmente qué actores están implicados y se detallan las medidas de control de la información personal, como las soluciones de ciberseguridad, el backup de datos, la necesidad de contar con sistemas redundantes o la segmentación de la red.
Autoevaluación online
Además, el portal de la Agencia Española de Protección de Datos dispone de un cuestionario online gratuito, Facilita_RGPD. Este permite saber a empresas que tratan datos de escaso riesgo si responden a los requisitos mínimos imprescindibles para cumplir con el Reglamento. Las compañías que quieran ir más allá deberán consultar la Guía de análisis de riesgos o la Guía de Evaluación de Impacto, que ayuda precisamente a identificar las actividades en las que más se la puede jugar una empresa.
Por último, en el canal Informa_RGDP, las empresas pueden hacer consultas a la Agencia Española de Protección de Datos. Si ya hay designado un delegado de protección de datos o DPO, será obligatorio que las plantee este profesional. Hablando de DPO, este site oficial también ofrece información sobre los requisitos que se le suponen a este perfil y cómo puede obtener su certificación.
También se puede acceder a información valiosa sobre el GDPR en la página de la Autoridad Catalana de Protección de Datos (APDCat). Se trata de una información que se ofrece tanto en catalán como en castellano. Es interesante un apartado de este site donde se detalla qué actuaciones deben abordar las empresas y los encargados de la protección de la información para actuar de acuerdo a la ley, desde revisar las cláusulas informativas hasta nombrar a un DPO o formar al personal de la compañía. Igualmente, la Agencia Vasca de Protección de Datos (AVPD) también ha elaborado guías en euskera y castellano para ayudar a las compañías a ponerse al día.
¿Por dónde empiezo?
Seguro que esta pregunta se la hacen muchos gerentes de empresas que ven como el plazo para adaptarse al GDPR se termina. Adjuntamos una infografía muy interesante de la AGPD. Sin embargo, vamos a resumir. Lo primero que recomiendan los expertos es hacer un inventario de la tipología de datos que trata la compañía, su finalidad en cada caso y las obligaciones que deberá cumplir a la luz del reglamento. Es decir, confeccionar un mapa para luego ir actuando sobre él.
A continuación, conviene volver a redactar las cláusulas de consentimiento con las que los clientes y usuarios autorizan a la compañía a usar sus datos. Hay que recordar que ahora el consentimiento debe ser reforzado y se debe dar de forma expresa por parte del usuario o cliente. También es conveniente revisar los contratos con los prestadores de servicios, por ejemplo con la firma que hace el hosting de aplicaciones o el backup periódico, puesto que, si hay fugas de información, el responsable último de la seguridad de los datos será la empresa con la que el cliente contrata el servicio, y no el proveedor del mismo. Es lo que llaman “responsabilidad activa”.
Proveedores de servicios de Internet
En el caso de los proveedores de servicios de Internet o redes sociales, tendrán que invertir en la tecnología necesaria para hacer realidad la portabilidad de los datos y para minimizar fugas de información y comunicar al momento las brechas de seguridad. A nivel general, las compañías de todo tipo deberán abordar un análisis de riesgos y una auditoría para saber qué cambios, mejoras tecnológicas y procesos deberán adoptar para cumplir con el GDPR. Hablamos de tecnologías de cifrado de la información, control de accesos, validación de datos o securización de dispositivos móviles, entre otras.
Y, por último, habrá empresas que, por el volumen de datos personales que manejan o por lo sensible de estos, estarán obligadas a contratar a un externo o formar a alguien internamente para asumir el puesto de DPO. En este caso, conviene que sea un profesional que esté familiarizado tanto con aspectos de ciberseguridad como con cuestiones jurídicas, y no hay muchos en el mercado con esta doble especialización.
Por Juan I. Cabrera
