EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS –RGPD-:

LA UNIÓN EUROPEA NOS OBLIGA A INTEGRAR LA CIBERSEGURIDAD, LA PROTECCIÓN

DE LA PRIVACIDAD Y LOS DATOS PERSONALES

· ¿EN QUÉ CONSISTE EL RGPD Y POR QUÉ SE HABLA DE UNA NORMATIVA DE RESULTADO?

El RGPD[1] constituye, junto a la Directiva sobre la transmisión de datos en cuestiones judiciales y policiales[2] y a la Directiva NIS[3], un marco normativo que fortalece el Mercado Único Digital y la Agenda de seguridad de la UE.

Al tratarse de un reglamento europeo, a diferencia de lo que se había regulado hasta entonces en protección de datos, el RGPD es obligatorio en todos sus elementos. Esta novedosa normativa, de inspiración anglosajona en cuanto a su orientación al resultado, está en vigor desde mayo de 2016 y será directamente exigible a partir del próximo 25 de mayo en todo el territorio de la UE, sobre todos los residentes en el mismo, independientemente del lugar de origen de la empresa u organismo que trate sus datos de carácter personal.

Devuelve a los ciudadanos la potestad sobre sus datos personales y obliga a las empresas a tomar todas las medidas técnicas y organizativas para la protección de los datos de los que es responsable o co-responsable (como encargado del tratamiento) y además a documentarlo.

Ahora lo que importa es poder demostrar:

o Que hemos implementado acciones para saber en todo momento dónde están los datos personales de mis trabajadores, clientes, proveedores, distribuidores y suscriptores (blogs, newsletters y otros servicios informativos).

o Que se usan exclusivamente para las finalidades que ha autorizado el titular de los datos

o Que se conservan exclusivamente durante el tiempo que legalmente se requiere o que nosotros hemos comunicado al titular en función del tratamiento específico que damos a sus datos y él nos ha admitido.

o La base jurídica que legitima el tratamiento de los datos de carácter personal que trata la empresa. Hay muchas, pero en términos de relaciones comerciales entre profesionales o empresas privadas y sus clientes, las dos más destacables son: el contrato y el consentimiento. Si en la información que se otorga al titular de los datos se hace mención expresa a un contrato, debe existir uno firmado con cada cliente y si este no existe, debemos recurrir a un consentimiento informado, expreso e inequívoco de cada detalle especificado en el RGPD y en las 15 páginas de la Guía para el cumplimiento del deber de informar de la Agencia Española de Protección de Datos.

Es decir, que tener carpetas LOPD llenas de documentos no tiene ningún valor si cada documento no está debidamente redactado, si lo que dice no se corresponde con la realidad y si no obedece a un ANÁLISIS DE RIESGOS REAL de tu actividad profesional o negocio.

Desconfía de las adaptaciones que te ofrecen resultados en una semana por el precio de una cafetera porque en caso de denuncia, fuga de información o inspección podrías quedarte sin cafetera, sin muebles, sin clientes y sin negocio.



[1] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

[2] DIRECTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo

[3] DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

16
Días
14
Horas
20
Minutos
29
Segundos

¿POR QUÉ LA FORMACIÓN ES EL PRIMER PASO DE UNA CORRECTA ADAPTACIÓN Y QUÉ OTROS PASOS DEBO DAR?

Sin formación a todos los niveles de la empresa, no existirá consciencia de todos los riesgos asociados a esta nueva normativa y a las amenazas latentes en materia de ciberseguridad. Sin duda alguna, habrá que poner al día los sistemas operativos, proteger las redes, instalar antivirus actualizados e invertir en herramientas que nos permitan detectar en tiempo record vulneraciones del sistema… y recurrir a la tecnología para cumplir el reglamento, pero todo ello puede resultar inútil si no se acompaña de la inversión en la formación y concienciación del capital humano.

EL RGPD cambia en muchos sentidos la forma de operar al interior de las organizaciones. Muchas de las rutinas que teníamos asumidas (como descargar aplicaciones desde un móvil usando el wifi de la empresa; comunicarnos con los clientes a través de WhatsApp; compartir información usando un servicio común de correo electrónico o aplicación en la nube o pasar comunicaciones a toda mi base de datos recurriendo al consentimiento tácito) tendrán que replantearse en el corto plazo por todas las instancias de la empresa, pues, estén a cargo de la relación con el cliente o no, pueden comprometer la seguridad de los datos personales causando fugas de información (intencionadas o no) y amenazar la continuidad del negocio.

Sin duda la manida frase: “el factor humano es el eslabón más débil de la empresa” es una verdad como un templo. Al fin y al cabo, por muchos expertos contratados interna o externamente, la seguridad es tan fuerte como el eslabón más débil de la empresa y es por ello que deben comprometerse todos los niveles jerárquicos de la misma.

¿POR QUÉ CONFIAR EN INNOVACYL?

Por EXPERIENCIA, por RESPALDO y por CONOCIMIENTO, tanto a nivel de cumplimiento normativo como del tecnológico por la ciberseguridad.

Con el RGPD las autoridades europeas reconocen la mayoría de edad de las empresas para hacerse cargo de la seguridad de los datos personales que manejan, exigiendo una trazabilidad del dato que hasta ahora era impensable para la mayor parte de profesionales en España. No obstante, al interior de las Pymes difícilmente se encuentran perfiles profesionales debidamente formados para hacer frente a los retos impuestos por este nuevo ecosistema normativo.

Con la LOPD el empresario sentía que cumplir era cuestión de documentos, compromisos de confidencialidad, copias de seguridad, inscripción de ficheros y poco más. A lo sumo una auditoría cada dos años si gestionaba datos sensibles. Muchos confiaron esa tarea en el administrativo de la empresa o en profesionales multitarea que les ofrecían documentos tipo, modificados entre si usando herramientas de combinación de correspondencia y hasta ahora no han tenido sanciones por ello.

Pero cumplir el RGPD es un proceso de nunca acabar. Desde que abrimos la puerta del negocio por la mañana y aún cuando esté cerrada y estemos descansando en casa. El reglamento europeo parte de un autoanálisis sobre la seguridad de los equipos críticos, las redes, las comunicaciones internas y externas, los servicios en nube, las políticas y procedimientos de seguridad, los riesgos físicos de acceso a equipos y archivos sensibles y por supuesto, el nivel de concienciación y conocimiento de todo nuestro personal sobre las implicaciones de la nueva normativa en su puesto de trabajo y sobre las recomendaciones de ciberseguridad aplicables al mismo.

Con más de 10 años de experiencia en la implementación de planes de ciberseguridad y de adaptación de empresas de diversa índole a la normativa de protección de datos de carácter personal, Innovacyl puede darte una solución que se ajuste a tus necesidades reales y a tu presupuesto para que la exigibilidad del RGPD pase de ser un dolor de cabeza a una ventaja competitiva de tu negocio o actividad profesional.

¿Es obligatorio?

El cumplimiento de las obligaciones legales en materia de protección de datos es imprescindible. La RGPD establece las siguientes sanciones económicas a los titulares de los ficheros y a los responsables, encargados y subencargados del tratamiento de los datos:

Nivel

sanciones

Leve

2 %  de la facturación global anual o 10 millones de euros, el que sea de importe superior.

Grave

4 % de la facturación global anual o 20 millones de euros, el que sea de importe superior.