Resumen del GDPR: 3 principios para la adaptación al cambio

1.- Cambio de mentalidad:

Esto es lo más importante y es por dónde debe empezar el modo en que se afrontan las implicaciones del nuevo GDPR.

Lo primero que hay que comprender es que la UE reclama proactividad. Es decir,  los administradores de datos deben ser proactivos y olvidarse de prácticas anteriores en materia de protección de mentalidad. Es realmente una necesidad de cambio de ‘chip’.

La pregunta tiene que pasar de la tradicional «¿Es esto legal?» a las siguientes:

– ¿Qué debo hacer para proteger los datos indiviuales?

– ¿Estoy haciendo lo correcto para proteger los datos individuales?

– ¿Podría estar haciendo más para proteger los datos individuales?

Hay tiempo hasta el 25 de Mayo de 2018, por lo que tienes tiempo de adoptar el cambio de mentalidad. Pero no te duermas 😉

2.- Designación de un Data Protection Officer:

Cuando se aplique el GDPR será obligatorio para ciertos controladores y procesadores de datos personales la designación de un Data Protection Officer (DPO). Este será el caso de todas las autoridades y organismos públicos (independientemente de qué datos procesen).

También será obligatorio para otras organizaciones que, como actividad principal, supervisen a los individuos de forma sistemática y a gran escala, o procesen categorías especiales de datos personales a gran escala.

Por tanto, vemos que no será obligatorio para todas las empresas -según parece ser inicialmente- el hecho de designar específicamente el nombramiento de un DPO. De todos modos, las organizaciones pueden designar un DPO de forma voluntaria.

Nosotros creemos que con el tiempo todas las empresas van a tener a un responsable, aunque también creemos que va a ser de modo paulatino.

El Data Protection Officer (DPO) y entre sus responsabilidades están:

– Informar y asesorar al controlador o al procesador (de los datos personales) y a los empleados que realizan el procesamiento de sus obligaciones bajo el GDPR;

– Monitorear el cumplimiento del controlador o procesador;

– Proporcionar asesoramiento con respecto a las evaluaciones del impacto de la protección de datos y supervisar el rendimiento del controlador;

– Cooperar con la autoridad supervisora;

– Actuar como punto de contacto para la autoridad supervisora.

Como ves, es un rol profesional bastante polifacético. La actividad de asesoramiento sobre las obligaciones que conlleva el GDPR es una función legal, mientras que el seguimiento del cumplimiento es un rol mucho más ligado a la auditoría.

Por tanto, nuestra recomendación con respecto a este punto es que tengas presente que puedes designar una figura responsable de este tema, pero que tampoco te obsesiones, dado que según parece inicialmente no será obligatorio disponer de una figura específica. Es decir, si puede realizar el control sin tener una persona responsable dentro de la empresa también será factible.

3.- Definir una estrategia de privacidad de datos sólida:

El hecho de considerar seriamente la designación de un DPO sin duda será una parte clave de la estrategia de privacidad de datos en tu empresa. Sin embargo, la definición de una estrategia sólida tiene que ir más allá de este tema.

Nosotros recomendamos que se comience fijando objetivos y, relacionándolo con el primer punto de los 3 consejos que damos (el de cambiar de chip de verdad) el primer y más importante objetivo debería ser proteger a los ciudadanos de la UE.

Otras sugerencias que te hacemos incluyen el hecho de proteger a tu empresa frente a las malas prácticas en materia privacidad y, en última instancia, los riesgos que conllevan, como parte de tu estrategia de privacidad de datos.

También podrías hacer de este tema (el de la protección de los datos de las personas) como una bandera en tu negocio. Es decir, que no solo lo cumples, sino que es un tema en el que tu empresa es pionera en su adopción.

Por último, nuestra recomendación es que, dentro de sus procesos, implementes un sistema que te permita tener un registro de las ocasiones en que ha habido pequeños desajustes en materia de privacidad y cómo se han corregido, evaluaciones periódicas del impacto de la privacidad (PIA’s, que incluyen análisis de riesgos) e informes regulares del estado general de este tema en tu empresa.