Se puede cumplir el RGPD y no morir en el intento

Se puede cumplir el RGPD y no morir en el intento

A 2 años vista de cumplir el plazo para implantar el RGPD, los Responsables de tratamiento, estaban tranquilos “hay tiempo” y así seguirían hasta el 23 de mayo del 2018, porque el 24 de mayo fue lo más parecido al fin del mundo y el 25 de mayo todos creían que vendría Swarzeneger y su “sayonara baby” para sancionarles con una multa de 20 millones de euros.

¿Es tan difícil cumplir con la GDPR como dicen?, si y no, depende de los datos que recojas, de cómo los trates y del tipo de dato, porque no es lo mismo recoger datos de contacto para llamarte cuando reciba la tv de 55” que quieres, a recoger datos de salud de niños en la guardería, que además cuenta con un novedoso y estupendo sistema de cámaras de videograbación para que las mamás, papás, abuelas, abuelos, madrinas, padrinos y toda la familia puedan entrar y ver lo que hace la o el peque de la casa.

El GDPR, como las derogadas normativas en protección de datos, busca garantizar la confidencialidad, intimidad, el honor y proteger los datos de las personas, por lo que cada Responsable y Encargado de tratamiento deben adoptar las medidas de seguridad que consideren más oportunas para asegurar la confidencialidad de la información que trata. Sin querer explicarlo, aquí encontramos para mí una de las grandes diferencias entre la normativa actual y la anterior; mientras antes nos decían qué y cómo hacer para cumplir, ahora solo nos dicen el objetivo “salvaguardar los datos personales”, por esa razón muchos artículos y bloggers se quejan de la falta de información o mejor dicho de concretación a la hora de detallar los pasos que se deben hacer para no incumplir el RGPD.

Aquí van unos consejos para no morir en el intento:

1. Se Proactivo y no Reactivo

No esperes que pase “algo”, pon medidas y evita que pase. Esto es lo que se conoce como “Accountability”, Privacy by Design y Privacy by Default.

La privacidad por defecto y desde el diseño, debe estar presente desde el mismo momento en el que se piensa en un nuevo proyecto, servicios, aplicación, desarrollo y no al final como solía ocurrir, “oye y ahora que ye tenemos la app desarrollada mirar eso de la protección de datos a ver qué hay que hacer

Os imagináis que una marca de vehículos presente un coche con un motor potente, un diseño espectacular pero sin ABS, control de tracción, frenos de tambor, sin cinturones, sin luces led… no verdad, pues en eso consiste el RGPD, en dotar de seguridad desde el primer momento al proyecto.

2. El Riesgo cero no existe

Debes realizar un Análisis de Riesgos que nos permita analizar los posibles riesgos en relación al tratamiento de los datos que realizamos, cuya finalidad será definir un riesgo residual aceptable.

Para ello debemos preguntarnos: ¿qué datos recojo?, ¿cómo, desde qué soporte?, ¿automatizados o papel?, ¿con qué finalidad?, ¿son necesarios?, ¿se van a ceder a terceras empresas?, ¿por qué?, ¿qué seguridad tengo para evitar accesos no autorizados?, etc.

3. Trata bien los datos

Los datos personales deben recogerse y tratarse de manera lícita, sin engaños ni textos enfarragosos, es decir, precisos y transparentes.

El tratamiento debe basarse en una licitud legítima, es decir que exista una relación precontractual o contractual o que exista una normativa que ampare el tratamiento.

Los datos no podrán ser conservados más tiempo que el necesario para el prestar la finalidad correspondiente.

4. Se termina el consentimiento tácito y se da la bienvenida al expreso.

El tácito es aquel que decía “si no me dices lo contrario mediante un correo postal o un email, voy a enviarte información comercial y voy a ceder tus datos a otras empresas que también te enviarán información comercial”.

Ahora el expreso te dirá “SI deseas recibir información comercial dime que SI, de lo contrario no puedo hacerlo”.

Así que debes:

  • Ajustar y adaptar los textos legales de tu negocio digital o no.
  • Adaptar los formularios al RGPD.
  • Usar casillas de verificación por cada finalidad distinta a la principal.
  • Facilitar la información mediante capas con “información básica” e “información adicional”.

 Además, debes poder demostrar que recogiste el consentimiento expresamente.

5. Ojo con tus proveedores

Ahora, además de formalizar la relación, debemos asegurarnos que contratamos un Encargado de tratamiento que cumple la normativa de protección de datos, para ello hay que verificar el cumplimiento mediante la adopción de cuestionarios, evaluaciones, petición de documentación o mediante auditorias.

Y no olvides actualizar los contratos de prestación de servicios.

6. Nuevos Derechos.

A los ya conocidos ARCO, acceso, rectificación, cancelación y oposición, se añaden: portabilidad para tratamientos automatizados, limitación al tratamiento, supresión y olvido para los tratamientos online de navegadores que indexan noticias, a no ser objeto de decisiones individuales automatizadas y la posibilidad de indemnización.

7. Si pasa algo, gestiona inmediatamente

Cuando se produzca una incidencia o brecha de seguridad (robo de un teléfono, portátil, perdida de información que se encontraba en un sobre con nóminas de trabajadores, accesos a equipos informáticos no autorizados, eliminación de información por error…) deberá ser comunicada a la Autoridad de control correspondiente e incluso a los interesados, cuando exista un riesgo para los interesados, si bien hay excepciones.

8. Especialízate

Puede que necesites un Delegado en Protección de Datos “DPO” o “DPD” para determinados tratamientos de datos.

El DPO es el antiguo Responsable de Seguridad con más funciones, responsabilidades pero sobretodo más requisitos imprescindibles para poder ser DPO, será la persona de contacto con la Autoridad de Control, en España, la Agencia Española de Protección de Datos.

Si no cumples los requisitos para ser DPO, puedes externalizarlo, lo más aconsejable dado su perfil profesional y académico.

9. Más control

Los tratamientos de datos que impliquen un riesgo para los interesados/titulares de los datos, necesitan un análisis previo, denominado Evaluación de impacto “EIPD”.

La EIPD es un método más exhaustivo que el Análisis de Riesgos que comentamos en el punto 2 y para gestionarlo se antoja necesaria la presencia del DPO.

Una EIP se realiza sobre un tratamiento en concreto y no sobre el conjunto como hace el Análisis de Riesgos, de hecho la conclusión del Análisis de Riesgos y una vez identificados los riesgos, el siguiente paso será hacer o no la EIPD.

Concretamente hablamos de tratamientos de datos a gran escala de categorías especiales como salud, menores, condenas y sanciones penales o la evaluación sistemática y exhaustiva de aspectos personales de las personas, como el big data, o la observación a gran escala de datos obtenidos por sistemas de videograbación.

10. Divulga

Por último y no menos importante, informar, formar y divulgar los procedimientos de seguridad entre los trabajadores.

De nada sirve implantar y adecuar tu empresa al RGPD si no formas a tus trabajadores.

Recuerda que todo lo que no se escriba y se divulgue no vale de nada:

  • Uso de medios tecnológicos.
  • Acceso mediante contraseñas, creación, distribución, baja.
  • Cómo usar la contraseña y que no hacer.
  • Acceso a las instalaciones.
  • Relación con terceros, proveedores de servicios.
  • Autorizaciones para la salida de datos y soportes.
  • Cifrado de archivos enviados por medios electrónicos.
  • Incidencias, qué es, qué hacer, a quién dirigirte.
  • Uso de dispositivos personales para trabajar.
  • Uso de correo empresarial.
  • Uso del correo personal.
  • Instalación de programas.
  • Cómo tratar los CV que llegan.
  • Cómo gestionar los derechos.
  • Y recuerda, no todo tratamiento se hace de manera automatizada, así que también debes informar sobre el uso de medios no tecnológicos.

Y como siempre, nos quedan las sanciones, que la dejamos sin número, dado que nunca ha sido  nuestra forma de llegar al cliente, no asustamos ni buscamos que sea la razón para adecuarte.

Creemos firmemente que un proyecto correcto de implantación en Protección de Datos mejora los procedimientos de la empresa y si nos haces caso, te evitaremos las temidas sanciones.

Las sanciones no son una clave para cumplir el RGPD sino todo lo contrario, un riesgo a evitar. El RGPD incrementa significativamente la cuantía de las sanciones por incumplimiento, pudiendo llegar a 10 millones de euros o un 2% como máximo del volumen de negocio anual global del ejercicio financiero anterior o incluso a 20 millones de euros o un 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior.

Sed buenos!.