El Reglamento General de Protección de Datos entrará en vigor el próximo 25 de mayo y con él llega una nueva era en el tratamiento de los datos personales que afectará a las empresas. Son 99 artículos que se pueden consultar en esta página oficial, y son muchos los procesos y cambios que realizar para cumplir con esta nueva normativa. Ahora, a las empresas no les basta con recopilar y almacenar los datos, sino que deben averiguar qué secciones de la normativa aplican a su negocio y adaptarse rápidamente. Cualquier error en el tratamiento de datos conlleva multas que no se pueden recurrir alegando desconocimiento.
El aparente problema es que, según los resultados de una encuesta de Mailjet, una plataforma de emailing, «tan solo el 22% de las empresas utiliza tecnologías de encriptación para proteger correctamente estos datos, y apenas un 36% dice disponer de sistemas de alerta para avisar de una posible intrusión en sus sistemas«. Es decir, que parece que aun quedan muchas empresas por actualizarse y tomar medidas para el cumplimiento de las nuevas normas. Estos datos son similares a los resultados de la encuesta realizada en otros países europeos.
Uno de los puntos más importantes y centrales de esta nueva normativa es que, a partir del 25 de mayo, la recopilación de datos personales solo es posible si antes existe un consentimiento previo y explícito de las personas. Es decir, ya no será posible añadir personas a una newsletter de manera automática, ni con consentimiento tácito. Tampoco se pueden utilizar direcciones de email que aparezcan en sitios como Linkedin, por ejemplo, puesto que es obligatorio solicitar permiso, y que la persona propietaria de ese email confirme que está de acuerdo.
Tres pasos críticos a realizar por las empresas para cumplir con el RGPD
El primer paso imprescindible es entender bien el reglamento y sus requisitos. Como decíamos, son 99 artículos que detallan de manera extensiva las especificaciones, requisitos, obligaciones y principios de la normativa. Dominar esa cantidad de información y entender bien el objeto de la misma no es tarea fácil, y para muchas empresas la mejor solución sería la de contar con un empleado experto en la materia, o bien contratar servicios de consultoría para asegurarse de cumplir con todo.
No es para tomárselo a la ligera, puesto que las sanciones administrativas por incumplimiento del RGPD pueden ser de hasta 10 millones de euros, o el 2% de la facturación mundial de la compañía, o hasta 20 millones de euros y el 4% de la facturación, dependiendo de qué principios se incumplan.
El segundo paso sería la evaluación del riesgo de la empresa. Es importante porque a partir de la llegada del RGPD las empresas deben determinar dónde reside la información personal y cómo se maneja, hasta para la más mínima cantidad de datos. Es necesario conocer todas las vías por las que entran datos en la empresa, por dónde «transitan», desde los socios, los contratistas e incluso los proveedores externos de la nube.
Una vez conocido esto se habrán identificado «brechas» según el RGPD que deben ser subsanadas a la mayor brevedad. Lo más probable es que exista la necesidad de crear nuevos procesos internos en el manejo de los datos para evitar en la medida de lo posible cualquier inconsistencia, y sobre todo el incumplimiento «no consciente» de la normativa.
El tercer paso crítico para las empresas tiene que ver con la seguridad. Si cumplir con el RGPD es imprescindible, reforzar la seguridad en la empresa no se queda a la zaga en importancia. Los ciberdelincuentes están preparados para atacar cualquier brecha de seguridad con toda su artillería. Aprovechando la implantación del RGPD está la oportunidad de mejorar los procesos de seguridad, reforzar la plantilla con expertos en datos y encontrar las posibles vulnerabilidades cuanto antes.
Deja tu comentario sobre "¿Están las empresas preparadas para la llegada del RGPD?"