GDPR y pymes: 3 consejos para adaptarse al nuevo reglamento de protección de datos
Actualmente, hay bastante revuelo con las noticias que han salido acerca del nuevo reglamento de la Unión Europea sobre protección de datos personales.
A continuación vamos a ofrecer 3 consejos para que las pequeñas y medianas empresas (pymes) puedan empezar a adaptarse al nuevo reglamento de la Unión Europa en materia de protección de datos de índole personal.
Significado: ¿Qué son las siglas GDPR?
Las siglas GDPR responden a General Data Protection Regulation (Reglamento General de Protección de Datos).
Se trata de un nuevo Reglamento de la UE que sustiturá a la Directiva de Protección de Datos (DPD) de 1995 para mejorar significativamente la protección de los datos personales de los ciudadanos de la UE y aumentar las obligaciones de las organizaciones que recopilan o procesan datos personales.
¿Cuándo será la entrada en vigor del GDPR?
La nueva normativa GDPR entrará en vigor el 25 de Mayo de 2018, que será justo cuando sustituirá a la actual Directiva de Protección de Datos de 1995, tal y como explicábamos en el punto anterior.
¿A quién afecta el GDPR?
El GDPR afectará a cualquier empresa que recoja y utilice datos de ciudadanos europeos, con independencia de que esta organización esté establecida en la UE o no.
Es decir, lo que marca si hay que considerar el GDPR es el hecho de estar tratando con datos de ciudadanos europeos o no, tanto si la empresa que lo hace es de la UE como si no.
Por ejemplo, una compañía establecida en EEUU que trata datos personales de ciudadanos de la UE sí que estará bajo dicha normativa. Y, por supuesto, si la compañía que trata datos de ciudadanos europeos es de la UE también, claro está.
Resumen del GDPR: 3 principios para la adaptación al cambio
1.- Cambio de mentalidad:
Esto es lo más importante y es por dónde debe empezar el modo en que se afrontan las implicaciones del nuevo GDPR.
Lo primero que hay que comprender es que la UE reclama proactividad. Es decir, los administradores de datos deben ser proactivos y olvidarse de prácticas anteriores en materia de protección de mentalidad. Es realmente una necesidad de cambio de ‘chip’.
La pregunta tiene que pasar de la tradicional “¿Es esto legal?” a las siguientes:
– ¿Qué debo hacer para proteger los datos indiviuales?
– ¿Estoy haciendo lo correcto para proteger los datos individuales?
– ¿Podría estar haciendo más para proteger los datos individuales?
Hay tiempo hasta el 25 de Mayo de 2018, por lo que tienes tiempo de adoptar el cambio de mentalidad. Pero no te duermas
2.- Designación de un Data Protection Officer:
Cuando se aplique el GDPR será obligatorio para ciertos controladores y procesadores de datos personales la designación de un Data Protection Officer (DPO). Este será el caso de todas las autoridades y organismos públicos (independientemente de qué datos procesen).
También será obligatorio para otras organizaciones que, como actividad principal, supervisen a los individuos de forma sistemática y a gran escala, o procesen categorías especiales de datos personales a gran escala.
Por tanto, vemos que no será obligatorio para todas las empresas -según parece ser inicialmente- el hecho de designar específicamente el nombramiento de un DPO. De todos modos, las organizaciones pueden designar un DPO de forma voluntaria.
Nosotros creemos que con el tiempo todas las empresas van a tener a un responsable, aunque también creemos que va a ser de modo paulatino.
El Data Protection Officer (DPO) y entre sus responsabilidades están:
– Informar y asesorar al controlador o al procesador (de los datos personales) y a los empleados que realizan el procesamiento de sus obligaciones bajo el GDPR;
– Monitorear el cumplimiento del controlador o procesador;
– Proporcionar asesoramiento con respecto a las evaluaciones del impacto de la protección de datos y supervisar el rendimiento del controlador;
– Cooperar con la autoridad supervisora;
– Actuar como punto de contacto para la autoridad supervisora.
Como ves, es un rol profesional bastante polifacético. La actividad de asesoramiento sobre las obligaciones que conlleva el GDPR es una función legal, mientras que el seguimiento del cumplimiento es un rol mucho más ligado a la auditoría.
Por tanto, nuestra recomendación con respecto a este punto es que tengas presente que puedes designar una figura responsable de este tema, pero que tampoco te obsesiones, dado que según parece inicialmente no será obligatorio disponer de una figura específica. Es decir, si puede realizar el control sin tener una persona responsable dentro de la empresa también será factible.
3.- Definir una estrategia de privacidad de datos sólida:
El hecho de considerar seriamente la designación de un DPO sin duda será una parte clave de la estrategia de privacidad de datos en tu empresa. Sin embargo, la definición de una estrategia sólida tiene que ir más allá de este tema.
Nosotros recomendamos que se comience fijando objetivos y, relacionándolo con el primer punto de los 3 consejos que damos (el de cambiar de chip de verdad) el primer y más importante objetivo debería ser proteger a los ciudadanos de la UE.
Otras sugerencias que te hacemos incluyen el hecho de proteger a tu empresa frente a las malas prácticas en materia privacidad y, en última instancia, los riesgos que conllevan, como parte de tu estrategia de privacidad de datos.
También podrías hacer de este tema (el de la protección de los datos de las personas) como una bandera en tu negocio. Es decir, que no solo lo cumples, sino que es un tema en el que tu empresa es pionera en su adopción.
Por último, nuestra recomendación es que, dentro de sus procesos, implementes un sistema que te permita tener un registro de las ocasiones en que ha habido pequeños desajustes en materia de privacidad y cómo se han corregido, evaluaciones periódicas del impacto de la privacidad (PIA’s, que incluyen análisis de riesgos) e informes regulares del estado general de este tema en tu empresa.
Aclaración: Este artículo no pretende ser un consejo legal estricto sobre el GDPR. Lo que ofrecemos son consejos sobre cómo preparar a tu pyme para adoptar este cambio con respecto al tratamiento de datos sensibles en materia de proteccion de datos.