El tiempo sigue corriendo para todas aquellas empresas afectadas por la próxima entrada en vigor del RGPD, que son la mayoría. Muchos ya estaréis inmersos en vuestros proyectos de cumplimiento, mientras que otros seguiréis remoloneando en torno a cuándo iniciar la adaptación.
Para unos y otros, os traemos una nueva serie de consejos para enfrentaros a GDPR o RGPD:
Conoce bien todos datos de tu empresa
¿Sabes dónde se almacenan, cuándo se recopilaron, con qué propósito o quién puede acceder a ellos? Estas son algunas de las preguntas que las empresas y los DPO deberán ser capaces de responder una vez que entre en vigor el RGPD. Disponer de toda la información completa sobre el contenido, el alcance o la localización de los datos resulta fundamental tanto para protegerlos como para modificarlos y/o borrarlos rápida y fácilmente en caso de que así se requiera. Aunque a priori consideramos que tenemos controlados nuestros datos, la realidad suele ser otra. Formatos no estructurados en documentos, presentaciones y hojas de cálculo son especialmente susceptibles de ser “olvidados” por las organizaciones a la hora de realizar una auditoría o revisión de los datos. Por eso, hay que incidir en identificar todas las potenciales fuentes de información y almacenes de datos de las compañías.
Aprende a gestionar el Principio de Responsabilidad Proactiva
Como vemos, el cumplimiento del RGPD requiere que las organizaciones analicen qué datos tienen, cómo los tratan y con qué finalidades; así como que mantengan una actitud proactiva, diligente y consciente en cuanto al tratamiento de los datos personales. Esta obligación parte de la aplicación del Principio de Responsabilidad Proactiva, que exige mantener un registro (interno) de todos los datos y del tratamiento que se realiza sobre los mismos que puede ser solicitado en cualquier momento por parte de los organismos supervisores para asegurarse que se está cumpliendo la normativa. Es decir, el responsable del tratamiento de la empresa debe aplicar medidas técnicas y organizativas adecuadas para poder garantizar y demostrar que el tratamiento cumple el RGPD. Ese proceso, que sustituye a la declaración constante de ficheros de datos a las administraciones, también les servirá para adoptar el resto de puntos incluidos en la ley.
Implanta el RGPD por fases
Dar los primeros pasos para la adaptación y el cumplimiento del RGPD puede llegar a sobrepasar a las organizaciones debido a la magnitud del proceso. Por eso, es recomendable comenzar por aplicar los cambios en un área determinada dentro de la empresa, lo que servirá como proyecto piloto para la aplicación posterior en el resto de departamentos. Una vez que a nivel interno se tiene claro el procedimiento y se comprenden realmente los riesgos y las dificultades que implica, se puede extrapolar la experiencia aprendida a las diferentes áreas de la organización. Esto permitirá implementar nuevas políticas, procedimientos de soporte y formación que ayuden a la implantación completa del RGPD.
Cuidado con los registros en papel
La vieja aspiración de una oficina sin papel completamente digitalizada a menudo se ve frenada por la firma de contratos. Los registros en papel generan cada vez más inconvenientes a las empresas: ocupan demasiado espacio, no están siempre disponibles en entornos de movilidad y existe un mayor peligro de pérdida asociado al robo o al extravío. A esto se une ahora la necesidad de cumplir con los requisitos legales de RGPD. Para las organizaciones, la solución es contar con un sistema de firma digital que cumpla los protocolos más estrictos de protección de datos, garantice la seguridad y confidencialidad de los mismos y esté reconocida legalmente.
El borrado de registros en las copias de seguridad
Entre las exigencias que incorpora RGPD, hay varios casos en los que las empresas están obligadas a borrar registros personales. Por ejemplo, cuando termina la relación, cuando expira el plazo concedido o a petición del interesado, aunque la casuística es mucho más extensa. Comparativamente, resulta fácil eliminar los registros de los sistemas de trabajo, pero ¿qué hacemos con los backups? Salvo excepciones, no es posible eliminar registros individuales dentro de un backup, especialmente si se trata de bases de datos. Sin embargo, el desarrollo de copias de seguridad en la nube ofrece una interesante alternativa para salvar este escoyo. Gracias a la sincronización constante, las empresas pueden mantener sus copias de seguridad siempre actualizadas, accesibles y protegidas cumpliendo la normativa.
Gestionar los datos de los dispositivos
Los móviles, ordenadores portátiles y tabletas son otra fuente importante de riesgo de incumplimiento de RGPD. Ya sean propiedad del empleado -la conocida tendencia del BYOD (Bring Your Own Device)- o de la empresa, en la práctica totalidad de los casos estos dispositivos contienen en sus discos duros datos personales de terceros. Su pérdida o robo obliga a las empresas a: notificar este hecho a las autoridades, en primer lugar; y a ser objeto de una investigación, que puede derivar en fuertes multas, en segundo lugar. En este nuevo escenario, las organizaciones deben analizar el nivel de riesgo al que se exponen y tomar las medidas pertinentes para protegerse. En este caso, la gestión en remoto de dispositivos por parte de equipos de IT no solo ahorra costes, sino que permite controlar el acceso a los mismos al tiempo que asegura la protección de datos de forma unificada.
Si quieres más información sobre cómo gestionar la adaptación de tu empresa al RGPD, accede a nuestro portal.