Llegó el momento de prepararse para la regulación sobre datos más ambiciosa

Llegó el momento de prepararse para la regulación sobre datos más ambiciosa

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la UE entra en vigor en apenas 80 días. Es un cambio considerable de las actuales reglas comunitarias sobre protección de datos: contempla obligaciones más estrictas y sanciones más duras. Potenciales incumplimientos supondrían riesgos financieros y reputacionales para las compañías infractoras.

Todos manejamos datos, pero no siempre somos conscientes de su uso correcto. En un momento en que la gestión y la interpretación de datos se ha convertido en un elemento clave para la inteligencia económica y empresarial, los organismos reguladores han trabajado para asegurar que el tratamiento de los datos sea más escrupuloso. Cuando hablamos de datos nos referimos a cualquier información que pueda ser usada directa o indirectamente para identificar a una persona (desde direcciones de correo electrónico hasta publicaciones en redes sociales).

Esto afecta a todas las empresas, independientemente de su localización o tamaño, lo que significa que a 80 días de que la regulación entre en vigor, si tu negocio recopila, procesa o almacena cualquier tipo de información sobre residentes en la UE, el GDPR es de urgente y directo interés para ti.

En España, la transposición del reglamento tiene lugar en el marco de la modificación de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobada por el Consejo de Ministros en noviembre de 2017. Sin embargo, y a menos de tres meses de su entrada en vigor, el proyecto aún se encuentra en fase de presentación de enmiendas en el Congreso. La Unión Europea otorgó un plazo de dos años a los estados miembros para que adaptaran sus respectivos marcos regulatorios a la normativa comunitaria.

Hoy por hoy, desconocemos si España cumplirá el plazo marcado por Bruselas. Todo dependerá de la agilidad de los grupos políticos a la hora de aportar sus observaciones y de la evolución de la agenda parlamentaria, hasta ahora muy centrada en asuntos internos. En este sentido, el proceso de enmiendas se viene prorrogando semana a semana desde el pasado mes de diciembre.

De momento, prepararse para cumplir el GDPR conlleva poner en marcha diferentes mecanismos: realizar inventarios de los datos disponibles y su localización, auditar transferencias de datos transfronterizas, implantar procesos y salvaguardias internas para administrar flujos de datos, trabajar con proveedores para asegurar su cumplimiento de las nuevas normas, renovar y modificar los códigos de conducta y los mecanismos de certificación o establecer instrumentos de cumplimiento, entre otros.

Algunas claves desde el punto de vista de la comunicación

Más allá de estos aspectos organizativos, es preciso implantar estrategias de comunicación interna y externa, para lo cual existen una serie de consejos a seguir:

  • Apuesta por los derechos de privacidad. Trata de demostrar respeto y compromiso por la protección de los derechos individuales de privacidad como clave de bóveda de tu cultura corporativa y como elemento central de los valores y reputación de la empresa. Por ejemplo, al llevar a cabo la transferencia de registros de empleados, muestra que estás cumpliendo con tu deber de proporcionar a las personas información y una elección sobre el uso de sus datos.
  • Aprende de experiencias pasadas. Comprende qué fue bien o mal en pérdidas de datos pasadas y utiliza estas enseñanzas para guiar tu formación en la materia.
  • Forma a tus portavoces. Forma a los directivos que estarán en la primera línea de la comunicación corporativa. A estos perfiles se les debe facilitar mensajes y argumentarios que les permitan responder eficientemente a preguntas sobre asuntos de privacidad.
  • Explica, explica, explica. Los empleados es posible que no comprendan la complejidad del GDPR y la necesidad de introducir cambios en los flujos internos de datos, por lo que sería útil facilitar un contexto para todos ellos. Considera asimismo la posibilidad de ofrecer formación online a todos tus empleados porque tu eslabón más débil podría ser tu mayor peligro.
  • Debes estar preparado para actuar. La rapidez de la respuesta es esencial. Asegúrate de que cualquier brecha sea rápidamente comunicada a los estamentos superiores de la compañía y de que exista un protocolo para afrontarla en el menor tiempo posible. Ten un plan de engagement público listo para demostrar tu compromiso de dar remedio a cualquier vulneración de los derechos sobre protección de datos. Es recomendable implantar escenarios de planificación y simulacros, especialmente antes de la entrada en vigor del GDPR. Diversos estudios muestran que una buena política corporativa de privacidad ayuda a que las firmas se protejan ante perjuicios financieros tras una brecha de seguridad, mientras que una política anticuada o inadecuada puede ser muy costosa en términos tanto empresariales como reputacionales.

Desde el punto de vista empresarial, estas últimas semanas se están antojando clave. El plazo de formulación de enmiendas, ampliado recientemente, constituye una ocasión para que los distintos grupos de interés formulen sus alegaciones a los ponentes designados por los grupos parlamentarios.

DESCARGA NUESTRO INFORME: “Risk intel alert DGPR”