El Reglamento General de Protección de Datos (RGPD) es un asunto serio, como sabrá cualquier gestor de riesgos que se precie. Pero con algo tan grande, no tiene sentido que sólo una minoría esté al tanto del taladro.

Entonces, ¿hay que hacer más para difundir el mensaje por toda la empresa? Aunque es probable que muchos especialistas en riesgos estén bien informados y hayan asistido a seminarios y otros actos de formación sobre esta nueva legislación clave, otros podrían ser menos conscientes de las onerosas nuevas responsabilidades que conlleva.

Además, entrará en vigor en menos de un año, en mayo de 2018. A pesar del Brexit, el cumplimiento del RGPD será esencial para cualquier empresa que maneje datos personales de la UE, independientemente de su lugar de origen. Los cambios clave incluyen la nueva obligación de notificar las violaciones a la OIC en un plazo máximo de 72 horas tras tener conocimiento de ellas, así como la introducción de multas potencialmente devastadoras. Éstas pasan del límite actual de la OIC de 500.000 euros a 20 millones de euros o el 4% de la facturación global anual, y se prevé la posibilidad de acciones colectivas y acciones judiciales individuales en función de la infracción.

GDPR – 8 datos clave

1) El GDPR se aplica a todas las empresas del mundo que procesan datos personales de ciudadanos de la UE: es la primera ley de protección global. 2) Según el GDPR, cualquier dato que pueda utilizarse para identificar a una persona se considera dato personal. 3) Debe utilizarse un lenguaje sencillo y claro cuando las empresas pidan el consentimiento para recopilar datos: el silencio del cliente no significa consentimiento. 4) Debe nombrarse un responsable de la protección de datos (RPD) en los siguientes casos: autoridades públicas (excepto los tribunales que actúen en el ejercicio de sus funciones judiciales); las que realicen un seguimiento sistemático a gran escala de las personas (por ejemplo, seguimiento del comportamiento en línea); las que realicen un tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas e infracciones penales. 5) Se puede designar a un único delegado de protección de datos para que actúe para un grupo de empresas o para un grupo de autoridades públicas, teniendo en cuenta su estructura y tamaño. 6) Cualquier organización puede designar a un RPD, independientemente de que el RGPD obligue a designarlo. 7) Una empresa debe asegurarse de que su organización cuenta con personal y competencias suficientes para cumplir las obligaciones del RGPD. 8) En el pasado, sólo los responsables del tratamiento se consideraban responsables de las actividades de tratamiento de datos, pero el RGPD amplía la responsabilidad a todas las organizaciones que manejan datos personales. Aunque es posible que los gestores de riesgos conozcan bien los pormenores, y es probable que muchos hayan realizado pruebas para comprobar el cumplimiento y tal vez hayan formado una estrategia de gestión de infracciones, ahora es el momento de asegurarse de que todos los empleados que manejan y almacenan datos estén igualmente informados. La GDPT no es un oscuro texto legislativo que llegará y luego se olvidará, y no se puede imponer al departamento de informática como su competencia. Los gestores de riesgos podrían explicar que la seguridad de los datos es responsabilidad de toda la organización. Y también podría haber un mensaje que no se centrara sólo en los aspectos sancionadores. Ser responsable con los datos personales es un atributo positivo e introducir procedimientos más estrictos, si es necesario, bien puede ser positivo. Muchos estarían de acuerdo en que el requisito del «derecho al olvido» del RGPD está plenamente justificado y todos los clientes tienen derecho a saber que sus datos se eliminarán si así lo solicitan y a saber cómo procesa los datos una empresa. Puede significar que los empleados tendrán que acostumbrarse a tener pistas de auditoría más completas si es necesario, es decir, para demostrar que han obtenido el consentimiento del cliente para utilizar sus datos, pero se trata de un protocolo sólido y de la forma en que cualquier cliente querría ser tratado. Cuando las cosas van mal, por ejemplo, recordando la infracción de TalkTalk, se produce un grave daño a la reputación del que puede ser difícil librarse. Así que, en lugar de ver el GDPR sólo en términos de presiones, también hay un mensaje positivo en torno a que tener unos controles sólidos de la privacidad de los datos equivale a un mejor servicio al cliente, y utilizar esto dará lugar a una ventaja competitiva. Hay poco tiempo y muchos detalles en torno al RGPD, y quienes lo divulguen bien pueden estar trabajando en el ámbito de la gestión de riesgos. Es más, también tendrán que asegurarse de que llegan a cualquier empresa de subcontratación que maneje datos para una organización. Los sistemas de seguridad sólidos son un requisito previo y cada vez más empresas contratan seguros de responsabilidad cibernética para reforzar sus defensas, pero esto dista mucho de ser un sustituto de unos controles internos sólidos. En última instancia, es fundamental una buena gestión interna y del riesgo derivado del elemento humano.

El GDPR pronto estará entre nosotros y, aunque ahora pueda significar poco para muchos, es una nueva ley de gran alcance que debe tomarse en serio en todos los niveles de una empresa. Enlaces útiles: Las aseguradoras se enfrentan a «grandes multas» por incumplir la nueva ley de datos de la UE (Insurance Business, 26 de mayo de 2017) Prepararse para el Reglamento General de Protección de Datos (RGPD): 12 pasos a seguir ahora (Oficina del Comisario de Información)