12 pasos para preparar tu empresa de cara al RGPD

RGPD: 12 pasos para preparar tu empresa

El Reglamento General de Protección de Datos (RGPD) tendrá carácter obligatorio en todos los países de la Unión Europea (EU) a partir del 25 de mayo. Esto significa que todas las empresas y organizaciones que incumplan las exigencias del reglamento en materia de tratamiento y seguridad de los datos podrán ser penalizadas con multas de hasta 20 millones de euros (o 4 % del volumen global de negocios). ¿Sabes lo que tienes que hacer para cumplir con el RGPD?

Más protección para los consumidores, nuevas exigencias para las organizaciones, nuevas cuantías de multas y una normalización de la legislación de datos personales para todos los Estados Miembros. De forma resumida, esto es lo más destacado del legislador europeo RGPD 679/2016. De manera más detallada, este reglamento puede conllevar grandes cambios para tu empresa, sobre todo, a nivel organizacional.

¿Qué cambiará en tu empresa con el RGPD?

Prácticamente todas las empresas lidian con datos personales de forma diaria. Desde información sobre sus clientes hasta las bases de contacto para el envío de newsletters, por ejemplo, son muchos los datos en posesión de las organizaciones, pero también con su sector de actividad y dimensión.

La responsabilidad de cumplir con el RGPD es exclusivamente de la empresa. Le cabe a tu organización actualizar procesos internos o definir nuevos procesos para cumplir con la normativa.

¿Cuáles son las sanciones?

A partir del 25 de mayo, el incumplimiento del RGPD implica multas máximas de 20 millones de euros o de 4 % del volumen global de negocios.

 

Prepara tu empresa, paso a paso

Fase inicial: preparación interna y evaluación de la situación actual

 

Paso #1 – Reúne información y promueve un mayor conocimiento interno

Refuerza el conocimiento sobre el RGPD y garantiza que los empleados de la empresa están informados de todas las novedades. Es importante que consultes el en el Diario Oficial de la Unión Europea y que promueve formaciones internas sobre el tema. Al final, el conocimiento es la mejor defensa ante los errores en los procesos internos a diferentes niveles. Invierte, sobre todo, en conocimiento del RGPD para empleados que traten datos personales (para uso en campañas de marketing, por ejemplo) y para los líderes.

Paso #2 – Identifica y analiza los procesos actuales

Antes de empezar a implementar cambios en la empresa es importante que conozcas al detalle los procesos actuales de tu organización. Por ello, realiza un análisis de la forma en la que los datos personales de terceros son recogidos en tu empresa; de qué forma esos titulares dan su consentimiento; cuál es la finalidad de los datos; quién tiene acceso a los datos; y cómo están almacenados y gestionados.

En esta fase, todos los procesos de la empresa que involucre datos personales deben estar identificados. Toma nota de algunos ejemplos que te dejamos a continuación:

  • Encuestas para la obtención de datos personales que requieren consentimiento explícito del titular para que se puedan almacenar;
  • Accesos internos a datos personales de terceros, que deben estar sujetos a diferentes niveles de autorización;
  • Almacenamiento de datos, evaluando si están debidamente identificados en localizaciones seguras o, por el contrario, dispersos en ficheros XLS en las máquinas de los empleados y en cloud.

Paso #3 – Identifica los datos personales ya existentes

Además de los procesos, es necesario identificar también los datos personales ya recogidos, almacenados y en uso en su empresa. Para iniciar este análisis, responde internamente a estas preguntas:

  • ¿Qué datos personales posee la empresa?
  • ¿Qué tipo de datos son?
  • ¿Cuál es la finalidad y localización del almacenamiento?
  • ¿En qué momentos se usan?
  • ¿Quién ha suministrado los datos?

El RGPD ha introducido diferentes exigencias de acuerdo con el tipo de datos personales involucrados. Por ello, es fundamental que, cuando hagamos el análisis de los datos actuales, deberemos proceder a su categorización:

  • Datos personales: datos que identifican claramente a una persona (e-mail, nombre, teléfono, NIF, entre otros);
  • Datos sensibles: relacionados con la salud (enfermedades o informes médicos, por ejemplo), orientación religiosa, política o sexual, entre otros;
  • Dados legales: se pueden incluir datos personales, pero son necesarios para que una empresa cumpla con la legislación vigente (por ejemplo: el NIF para la emisión de facturas).

 

Fase de implementación: planifica, ejecuta acciones y cambia los procesos

Paso #4 – Identifica aspectos a revisar, a corregir o implementar desde cero

A partir del análisis de la situación inicial, identifica los principales riesgos y vulnerabilidad de seguridad. Define qué medidas tendrán que tomarse en términos de recopilación, almacenamiento y demás procesos de gestión de datos personales.

Paso #5 – Crea procedimientos destinados a la protección de datos personales

En función de los puntos identificados en el paso anterior, crea procedimientos de protección para reducir riesgo de vulnerabilidad. Implemente, por ejemplo, niveles de acceso a los datos personales, bases de datos específicas y buenas prácticas de conducta (como no dejar mensajes visibles con datos personales, no dejar CV de candidatos encima de la mesa, no dejar impresiones con datos personales «olvidados» en la impresora, etc.), entre otros procedimientos.

Paso #6 – Diseña nuevos procesos para garantizar los derechos de los titulares de los datos

Con la aplicación práctica del RGPD, se deberá asegurar que los derechos de los titulares de los datos se cumplen de forma eficaz. Crea procesos internos para que tu empresa esté apta, en cualquier momento, para cumplir los pedidos de los titulares de los datos, como, por ejemplo:

  • Derecho al olvido (la empresa debe limpiar todos los datos personales asociados a ese titular);
  • Derecho al acceso a los datos;
  • Derecho a la rectificación de los datos;
  • Derecho a la portabilidad de los datos (la empresa debe proporcionar todos los datos personales asociados a ese titular en un formato legible y actual).

Paso #7 – Actualiza documentos, formularios y avisos legales (en soporte físico o en la página web de tu empresa)

Actualiza todas las políticas de privacidad y textos informativos a los titulares de los datos, para que estén de acuerdo con el RGPD. El pedido de datos al respectivo titular debe hacerse con un lenguaje sencillo, indicando claramente qué datos se está solicitando, con qué finalidad, para que efecto y durante cuánto tiempo se van a almacenar, cuál es la entidad y cuáles son los contactos del responsable por el tratamiento de estos.

Paso #8 – Obtén el consentimiento claro de los titulares de los datos

Ajusta también la forma en la que se pide el consentimiento de los datos: deberá ser explícito por el titular, no siendo suficiente el consentimiento tácito. Es decir, los formularios con la indicación de “Firme aquí en caso de que se oponga a este consentimiento” dejan de ser válidos, ya que el titular debe señalar claramente que está de acuerdo con el consentimiento.

Si posees datos cuyo consentimiento no ha sido claro o explícito, deberás obtener un nuevo consentimiento por parte de los titulares o, si no es posible, eliminarlos.

 

Fase de continuidad: garantiza el cumplimiento del RGPD de cara al futuro

Paso #9 – Implementa los conceptos de Privacidad por Diseño y por Defecto

Todo el procesamiento de datos personales en su empresa debe hacerse teniendo en cuenta, a cada paso, la protección de datos y la privacidad (Privacidad por Diseño). Además, cuando se recojan datos personales, debes garantizar que, por norma, solo pidas los datos necesarios para los fines estrictamente indicados (Privacidad por Defecto).

Paso #10 – Asegúrate de que tus proveedores y empresas colaboradoras cumplan con el RGPD

Garantiza que las normas adoptadas para cumplir con la normativa constan del contrato con las entidades subcontratadas.

Paso #11 – Forma a tu equipo

Ahora que tu equipo ya se ha familiarizado con el RGPD y los procesos ya se han implementado, comunica a tus empleados lo que se debe hacer para garantizar la protección de datos y el cumplimiento de la legislación.

Evalúa si tu empresa necesita nombrar un Delegado de Protección de Datos (obligatorio para entidades públicas y organizaciones que traten datos sensibles a gran escala). Incluso si no es obligatorio en su caso, es importante que definas un responsable claro para responder a las peticiones de titulares de datos y auditorías.

Paso #12 – Ten siempre a mano un plan B

¿Qué pasa si roban un fichero con datos personales de tu empresa, o si un empleado ha accedido sin permiso a los datos personales de otra persona? No es posible eliminar todos los riesgos, por lo que deberás anticiparte a diferentes escenarios y preparar planes de acción alternativos. Ten en cuenta que, en caso de una violación de datos personales, tu empresa tiene 72 horas para notificar la entidad responsable, debiendo además informar a los titulares en cuestión.

Adapta tu empresa, implementa nuevos procesos y ajusta las prácticas existentes. Todo para que, el 25 de mayo, tu negocio esté preparado para el RGPD. Pero, más que eso, haga que el reglamento sea una oportunidad para proteger aún más los datos de tus clientes y reforzar su confianza.