¿Por qué las empresas no cumplen la normativa de protección de datos?

VIRGINIA CARABALLO | Son muchos los casos de empresas que creen que les supondrá un gasto muy elevado o una inversión de recursos y tiempo, que frene su actividad mientras se adaptan.

En otras ocasiones consideran que no es necesario porque son autónomos, o incluso tienen a un cuñado que les adapta sin cobrar nada.

Estamos hartos de oír que la información de una empresa es su mayor valor, ¿por qué no proteger nuestro mayor activo? LA INFORMACIÓN.

Proteger debidamente los datos personales de nuestros clientes, empleados, proveedores, candidatos de la bolsa de trabajo… ya no solo para evitar las multas, ¡sino para garantizar la continuidad de nuestro negocio!

La seguridad es confianza, es imagen, es el indicio de que la empresa desarrolla su actividad de manera transparente y eficaz.

 

 

¿Por qué ahora?

Todo el avance de las tecnologías de la información y la comunicación, así como el desarrollo de la sociedad de la información, hacen que la tecnología interactúe en todos los ámbitos de nuestra vida cotidiana: relaciones sociales, ámbito laboral, comercio… el acceso a todos estos ámbitos permite que los datos y metadatos crezcan como un gremlin en un buffet a medianoche.

Actualmente los datos personales que posee una empresa o profesional se guardan en la nube, para poder disponer de los datos en todo lugar, permitiendo la inmediatez y operatividad de la actividad del negocio, lo que puede llevar a suponer un riesgo si no se tienen las medidas de seguridad adecuadas.

Igualmente, el uso de redes sociales para el seguimiento y captación de clientes hace necesario la regulación del uso de las mismas, así como la protección de los datos que proporciona una persona a través de las tecnologías.

El desarrollo de las labores de marketing ve un abanico de posibilidades en las nuevas tecnologías, pero siempre hay que contar con salvaguardar los derechos de los usuarios ofreciendo la información necesaria para el usuario se vea protegido y sus datos se traten de forma leal y transparente.

Cómo adaptar mi empresa

Lo primero es hacer una radiografía de nuestra empresa. Según la actividad que desarrolle una empresa su servicio a los clientes puede depender únicamente de la entidad misma o de otros proveedores (encargados del tratamiento) que accedan a datos personales para desarrollar su actividad.

Lo primero que debemos hacer es revisar nuestro esquema empresarial e identificar a todas las partes interesadas, determinando:

• qué datos personales que tenemos de cada una,
• así como con quién los compartimos (encargados o cesiones),
• para qué (finalidad del tratamiento),
• cuál es la base legal para disponer de esos datos (contractual, consentimiento expreso, interés legítimo, vinculación jurídica…)
• y durante cuánto tiempo los vamos a guardar o tratar.

Realizar un registro de actividad del tratamiento, diferenciando los tratamientos que se llevan a cabo, clasificando la tipología de los datos, las partes involucradas en el tratamiento para saber quién accede a los datos, duración, base legítima, etc.

Plantear una serie de auditorías para identificar las medidas de seguridad de las que disponemos y saber si son efectivas, así como la tecnología que utilizamos para el tratamiento de los datos y su almacenamiento.

Revisaremos las medidas de seguridad, formando al personal para salvaguardar en todo momento la confidencialidad, disponibilidad e integridad de los datos personales a los que tengan acceso en el desarrollo de sus funciones.

Durante el desarrollo de nuestra actividad empresarial podemos aplicar nuevas tecnologías o incluso cambiar la página web, dando posibilidad a una mayor participación de los clientes. Este tipo de cambios pueden plantear riesgos en los tratamientos, por lo que habrá que hacer una Evaluación de Riesgos.

Entre las nuevas medidas que establece el RGPD está la notificación de brechas de seguridad, por lo que tendremos que elaborar un sistema de comunicación de brechas para hacer las comunicaciones pertinentes en menos de 72h.

En muchos casos las empresas deciden contratar servicios de consultoría para adaptar los sistemas que tenían implantados con la anterior normativa, LOPD, y así no pasar por alto ningún punto que pueda suponer una brecha y, con ello, una multa de la AEPD.

En caso de necesitar los servicios de un tercero para adaptarte deberás tener en cuenta:

• Que no te cambien solo los clausulados, asegurando que te asesoren sobre la documentación de justificación necesaria (como los registros de actividad, los cambios en los medios técnicos o de procesos, o la obligatoriedad de designar un Delegado de Protección de Datos).
• Que no te vendan una adaptación a coste 0 o inusualmente barato: huye de este tipo de empresas que lo que persiguen es vender un dossier genérico para empresas sin ningún tipo de adecuación específica a la actividad concreta de tu empresa.
• Ofrecen un curso de formación sin coste al financiarse con cargo a fondos públicos a través de bonificaciones en las cuotas a la Seguridad Social, esto puede suponer multas desde los 626 euros a 187.515 euros.