¿Hasta qué punto es sencillo implementar una infraestructura preparada para el RGPD?

Clare Hopping

25/07/2017

En poco menos de un año entrará en vigor el Reglamento General de Protección de Datos (RGPD), pero muchas empresas todavía no están listas para cumplir con los nuevos requisitos. ¿Realmente basta con designar a alguien en la empresa que se ocupe de los cambios?

Se ha hablado mucho del nuevo RGPD de la UE y de lo poco preparadas que están algunas empresas para hacer frente a los inminentes cambios, en parte por miedo y en parte por estar ocupadas con otros asuntos. Algunas empresas británicas se han desentendido sin más porque creen que el Brexit les protegerá, lo cual es falso, por supuesto.

Solo el 54% de las empresas creen que estarán preparadas para los cambios del RGDP a tiempo, si bien un cuarto declaró a la Direct Marketing Association (DMA) que ni siquiera habían empezado a prepararse para la normativa. Esto no es necesariamente culpa de las empresas: la DMA opina que el departamento estatal de información británico (ICO) no ha ofrecido suficientes directrices, lo que ha generado confusión.

«A pesar del alto nivel de concienciación sobre la nueva legislación, con un año por delante para prepararse, el número de empresas que creen estar preparadas a tiempo ha descendido a algo más de la mitad», comentaba Chris Combemale, director general del grupo DMA.

«Los recientes anuncios y guías de la ICO han generado una gran preocupación, ya que su interpretación de las leyes es demasiado estricta y se penaliza a las empresas más comprometidas con las mejores prácticas, la honestidad y la transparencia. Lo que necesita el sector es orientación justa y equilibrada de la ICO y del Grupo de Trabajo del Artículo 28. Con solo 12 meses para prepararse, necesitamos urgentemente estas directrices si se pretende que estemos preparados a tiempo».

Lo que está claro es que, independientemente de que las empresas estén o no listas, las nuevas normas entrarán en vigor y las empresas deberán disponer de todas las herramientas pero, ¿basta con designar a un responsable de protección de datos y seguir operando como de costumbre?

Cumplir o fracasar

Si no se cumplen las normas, las empresas se arriesgarán a multas de hasta 20 millones de euros (o el cuatro por ciento de los ingresos globales), por lo que el RGPD debe tomarse muy en serio. Una encuesta realizada por Veritas determinó recientemente que una de cada cinco empresas encuestadas temía quebrar debido a las estrictas sanciones que implica el reglamento.

Si bien es cierto que todas las empresas que manejan datos públicos van a tener que trabajar, puede que no sea para tanto: ciertas exenciones facilitarían el cumplimiento a la mayoría de las firmas.

Algunas empresas ya han designado a un responsable de protección de datos que auditará sus procedimientos e introducirá otros nuevos que cumplan con la legislación. Para las empresas de menor tamaño, añadir una nueva nómina quizá parezca exagerado, pero puede resultar una inversión sensata si se compara con las multas que puede incurrir el incumplimiento.

De hecho, GO DPO estima que al menos 7000 empresas en el Reino Unido tendrán que nombrar a un responsable de protección de datos o externalizar esta función para mayo de 2018, tal y como establecen los requisitos del RGPD.

Avisos de privacidad

Si se opta por mantener la función internamente entre el personal existente, será necesario asignar tiempo y presupuesto para asegurarse de dar atención prioritaria a todos los asuntos de la empresa de cara al público, como por ejemplo actualizar los avisos de privacidad. Redactar nuevos avisos de privacidad puede llevar un día entero, pero evitará problemas a la larga.

Lo mismo sucede con el inventario de datos que recoge la empresa. Al compilarlo puede que se dé cuenta de que está almacenando datos que no son de su competencia o que le falta información vital, por lo que reflexionar sobre estos aspectos podría suponer poco desembolso y resultar muy beneficioso.

El personal de TIC será el encargado actualizar y aplicar parches en sus sistemas más antiguos y vulnerables, algo que debería ser una costumbre, por lo que vale la pena contratar ayuda de fuera para que todo el proceso se realice con eficiencia y sin problemas.

¿Está preparado para afrontar una infracción?

Otra tarea nada apetecible pero necesaria es el establecimiento de estrategias claras para resolver un incumplimiento.

Garantizar que dispone de planes de comunicación con sus empleados, sus clientes y la agencia de protección de datos también debe ser prioritario. El modo de notificar una filtración de datos a sus clientes podría atenuar los daños y es fundamental cuando se trata de información financiera.

También hay que estar preparado para procesar solicitudes de eliminación y acceso a los datos personales. Puesto que cada vez más personas son conscientes del valor de sus datos, se prevé un fuerte aumento en el número de personas que desean asegurarse de que sus datos están seguros.

Si bien muchas empresas no están preparadas debidamente para el RGPD, no se tarda mucho en elaborar un plan para garantizar el cumplimiento desde ahora y seguir haciéndolo cuando la nueva normativa entre en vigor el 18 de mayo de 2018.

Emplear o contratar a un responsable de protección de datos para los próximos 12 a 24 meses puede ser una sabia inversión si quiere asegurarse de que en toda la organización se cumplen las nuevas normativas.

Si bien no es imposible adaptar al personal para aplicar los cambios, será mucho más sencillo si se dispone de una persona que se encargue de que la empresa esté preparada para el RGPD.

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.