En el ámbito empresarial, no todos son ni pueden ser especialistas en el cumplimiento del nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD) (aquí entra en escena el compliance GDPR).
Sin embargo, todos son responsables de la seguridad de la información y los sistemas, de la protección de datos y la privacidad.
Cumplir con el RGPD o GDPR (por sus siglas en inglés, General Data Protection Regulation) no es cualquier proyecto dentro de la empresa, debe ser parte de la estrategia del negocio.
Puntos claves para garantizar el compliance GDPR
Los consumidores y las personas con las que interactuamos en nuestro negocio nos confían sus datos.
Se necesitan sus datos personales para ofrecer adecuadamente un servicio, pero los usuarios deben estar al tanto de por qué y cómo se usan.
De esta manera, la RGPD agrega una mayor cuota de responsabilidad a las empresas e incrementa los derechos de los ciudadanos.
La implementación de este nuevo reglamento europeo supone para las organizaciones uno de los mayores cambios en la ley de protección de datos.
Las sanciones RGPD por infracciones a su reglamento podrían costarles hasta 20 millones de euros o el 4% de la facturación global, pero muy pocas se han puesto manos a la obra para cumplir con las exigencias que implica.
Aquí entra en juego la estrategia de compliance de las empresas.
Pero, ¿qué es el compliance y qué tiene que ver con la RGPD?
La estrategia del compliance GDPR
EL COMPLIANCE GDPR NO ES UNA HERRAMIENTA DE GESTIÓN.
Más bien, se trata de un cargo dentro de las empresas que tiene la función de dirigir y orientar el cumplimiento de las normativas y regulaciones.
Se originó en los Estados Unidos de Norteamérica y su aparición en Europa ha aumentado con la puesta en marcha de nuevas normas o regulaciones.
Las empresas necesitaron centrar esfuerzos en entender y adaptarse a estas nuevas legislaciones.
Muchas de ellas ampliaron el departamento de asesoría jurídica o contrataron a personas con un perfil específico para asegurar el cumplimiento de las leyes vigentes.
Cada día, el compliance GDPR cobra más fuerza en el mundo empresarial, cuyo principal objetivo es asesorar a las compañías en el cumplimiento de las normativas que les conciernen directa o indirectamente.
Además, el compliance GDPR posee para las organizaciones un componente ético, es decir, garantiza que las acciones que realiza la empresa no tengan repercusiones negativas en alguno de sus ámbitos.
Actúa con independencia, autoridad y teniendo sus propios recursos para asegurar su eficacia.
Es un cargo que proporciona una garantía absoluta en lo que se refiere a lo legal y ético, evitando el riesgo de sanciones (sanciones RGPD o de cualquier otro tipo).
Finalmente, es una figura que tiene influencia en todos los niveles de la organización.
Su labor impacta positivamente a la cultura corporativa pues, de alguna forma, se espera que todos velen por la ética y la legalidad.
En España, las compañías más grandes son las que han adoptado esta estrategia empresarial más rápidamente.
Aproximadamente 78% de estas empresas tienen en su plantilla a un compliance o un departamento relacionado.
Sin embargo, no solo las multinacionales y grandes organizaciones se benefician de esta figura.
La operación de muchas pymes y negocios locales puede favorecerse con la presencia de un compliance ante temas regulatorios o normativos.
Garantizar el compliance GDPR
Adaptarse a la RGPD (o GDPR) no es arreglar un problema en el departamento de Sistemas e Informática.
Implica a toda la empresa pero sobre todo a los niveles que interactúan con los datos de los clientes y usuarios, como el departamento de recursos humanos, de marketing, y de equipos de seguridad.
Es imprescindible que ellos conozcan el Reglamento general de protección de datos (RGPD) y saber qué se necesita implementar técnica y legalmente.
En el post RGPD y controles informáticos: las armas de la ciberseguridad empresarial puedes conocer más acerca de esta nueva legislación y sus importantes implicaciones.
Como se ha señalado, la RGPD (o GDPR) salpica a los responsables y encargados del tratamiento de los datos en una empresa.
Estos deben comprender las normas que supone, y los nuevos derechos de los ciudadanos que son titulares de los datos.
Del mismo modo, el compliance GDPR encargará de acompañar a estos departamentos y a sus trabajadores para dar cumplimiento efectivo a esta legislación e implementar los cambios que la empresa requiera para ello.
Se centrará en los siguientes aspectos que serán claves para actuar de forma organizada y minuciosa:
1
Identificación y documentación de los datos existentes
El compliance apoya la investigación de los datos que se almacenan y su identificación, el lugar en el que están guardados, cómo se procesan y quién tiene acceso a ellos.
2
Revisión de las prácticas actuales
La figura del compliance vela porque la empresa pueda demostrar su responsabilidad en todas sus actividades y acciones de procesamiento de datos.
En este sentido, apoya la verificación acerca de cómo se mueven los datos dentro y fuera de la Unión Europea, y las prácticas que involucran datos de menores de edad.
3
Verificación de procedimientos de consentimiento
Con base en el RGPD, el consentimiento para el procesamiento de cualquier tipo de datos debe ser específico y puede ser auditado.
Además, debe ser fácil de entender por parte del usuario.
Pero si actualmente los procedimientos de consentimiento son deficientes, la empresa debe solicitar nuevamente el permiso para el uso de los datos a sus clientes y usuarios.
El compliance RGPD (o GDPR) revisa los procesos actuales y advierte cualquier anomalía en ellos para garantizar que se cumplan todas las obligaciones.
Con el RGPD deben mantenerse los registros claros, establecer mecanismos para la eliminación de datos directos e inspeccionar regularmente que los procedimientos estén al día.
4
Asignación de responsables para la protección de datos
Las empresas o instituciones que realizan seguimiento de personas a gran escala o datos relacionados con condenas y delitos penales deben contar ahora obligatoriamente con un Delegado de Protección de Datos (DPO).
Aunque este no sea el caso de todas las empresas, el compliance GDPR debe asegurarse de que sea designado un individuo responsable de la protección de datos que mantenga el cumplimiento de este nuevo reglamento y le informe de ello.
5
Establecer procedimientos para el reporte de infracciones
Es necesario implementar procesos para detectar y hacer el reporte de las infracciones.
El compliance GDPR ayuda a desarrollar un plan interno para ello.
Cuando se presenta una posible violación de datos, tener los registros y las pruebas pueden asegurar ante las autoridades que los procedimientos están en orden y son efectivos.
6
Asegurar los derechos respecto a los datos personales
El RGPD incluye el derecho del usuario a estar informado; al libre acceso a sus datos; a su rectificación; a restringir su procesamiento; a la portabilidad de datos; a objetar y a no estar obligado a tomar decisiones de forma automática, y a la eliminación de los datos.
El compliance garantiza responder adecuadamente a cualquiera de estas solicitudes e implementar de forma efectiva todos estos derechos.
De esta forma, establece el responsable de estos procedimientos y qué sistemas se requerirán para aplicarlos.
Evaluar los riesgos en la administración de la privacidad de los datos es parte de las funciones del compliance.
7
Crear conciencia
En realidad, todos los trabajadores de una empresa deben comprender cuáles son los requisitos del RGPD y cuáles son sus responsabilidades individuales para garantizar el compliance, es decir, el cumplimiento de esta legislación.
Como figura o cargo en la empresa no es el único responsable de ello, pues requiere de un equipo de trabajo y de la labor específica de los empleados que apoyan las áreas que llevan a cabo el tratamiento de los datos.
8
Desarrollo de un plan de implementación de cumplimiento del nuevo RGPD
El compliance orienta a la empresa en el establecimiento de un plan para implementar los cambios necesarios para cumplir con esta normativa.
Para ello, prioriza los recursos, el soporte, determina qué capacidades necesita y en qué nivel para poder ubicar a los colaboradores que apoyarán su labor dentro de la empresa.
9
Considerar adquirir herramientas o consultoría especializada sobre el RGPD
Aunque ninguna herramienta o consultoría da garantía al 100% de que las prácticas de la empresa en cuanto a protección de los datos estén en orden, algunas pueden ser de ayuda para el compliance.
Las empresas de software ofrecen herramientas de detección de datos, sistemas de gestión de consentimiento, kits de herramientas de autoevaluación y plataformas integrales de gestión de datos.
En cuanto a consultoría, FO&CO Consultores ofrece un servicio centrado en RGPD y LOPD, que se centra en una revisión periódica, adaptación e implementación de la legislación, tanto del RGPD como de la LOPD.
Contando con especialistas en conocimientos legales, organizacionales, gestión de sistemas de información y tecnológicos.
Estos nueve pasos constituyen una guía orientativa para las empresas.
Las organizaciones deben buscar asesoría legal independiente para los asuntos relacionados con lo legal o lo regulatorio.
De cualquier forma, el objetivo debe ser siempre intentar llevar a cabo una protección de datos efectiva y consolidar una estrategia de compliance para esta y otras regulaciones.
Nos gusta recibir vuestras opiniones, no dejes de compartir 😉