25 May Cuidado, ¡que llegó el lobo!: el RGPD
Definamos brevemente el término accountability como la actitud de poner todos los medios posibles para asumir una tarea con responsabilidad y de forma proactiva. Este es el principio que está detrás del nuevo Reglamento General de Protección de Datos europeo, más mencionado por sus siglas #RGPD (GDPR en inglés).
¿De dónde surge este nuevo movimiento que algunos ya califican como el nuevo efecto 2000? ¿es necesario entrar en pánico? Virus como el Wanna Cry, que inundaron los ordenadores desde los más grandes a los más pequeños han llegado a poner en peligro la vida privada y la estabilidad empresarial de miles de afectados. Vivir en el entorno digital tiene sus ventajas y sus desventajas. Esta es una de las desventaja y a esto ha venido a intentar poner remedio el nuevo reglamento.
¿Qué necesitaremos tener en cuenta a partir de esta nueva reglamentación como empresas?
Básicamente se trata de un cambio de cultura. Ser conscientes de la información que tratamos, cómo la guardamos y del control que tienen sobre ellos sus auténticos dueños, los usuaraios. Tomando en cuenta que vivimos hiperconectados y por lo tanto también, hiper-expuestos, esta situación implica nuevas formas de asumir esta responsabilidad.
¿Cuáles son las medidas básicas que se nos demandan?
1. Asumir de forma consciente y controlada la recolección y tratamiento de toda la información que necesitamos para el ejercicio de nuestra relación con clientes y proveedores.
Disponer los mecanismos de almacenamiento de los datos a salvo de las amenazas en las redes.
Asesorarnos sobre los múltiples riesgos que amenazan a nuestra información para lo cual urge tener a una persona que se responsabilice de este tema a lo interno de la organización, llámese DPO (Delegado de Protección de Datos).
2. Informar a nuestros usuarios sobre las medidas que tomamos para la protección, almacenamiento y uso de su información de forma transparente en nuestros medios digitales, a través de:
Aviso legal
Política de Cookies
Política de Privacidad
3. Disponer los medios para que los usuarios puedan hacer uso de sus derechos respecto a la información que suministran. Cualquier operación que se haga con los datos es un tratamiento de la información. Así a los derechos ARCO se unen otros
Estaban ya vigentes:
Derecho de acceso,
• Derecho de rectificación,
• Derecho de oposición,
• Derecho de cancelación.
Los nuevos derechos:
Derecho a la transparencia de la información,
• Derecho de supresión (derecho al olvido),
• Derecho de limitación,
• Derecho de portabilidad.
El acceso a esta rectificación debe ser fácil y en especial de forma electrónica, en especial cuando se hayan recacabado de forma electrónica, (Web, e-mail etc). A partir de ahora, nada está supuesto en la aceptación del usuario y se deben eliminar las disposiciones en el Aviso Legal que dan por tácita la aceptación de nuestras condiciones de uso. Cada una de nuestras condiciones deberá ser expresamente aceptadas.
Actitud Compliance
El compliance es una tendencia que supone asumir una actitud proactiva, de ir por delante frente al imperativo de cumplir con las leyes. Esta tendencia anglosajona asigna a un departamento de la empresa la responsabilidad de velar por la adaptación de empresas a las cada vez más complejas normativas existentes. Puede abarcar desde la protección de datos, leyes ambientales, fiscales o de calidad, por ejemplo.
En realidad es una tendencia más propia de corporaciones multinacionales, pero su filosofía de ir por delante permea a las formas de funcionamiento de las instituciones públicas. Es así como para adaptarse al nuevo RGPD, las pequeñas empresas pueden recurrir a informarse en la AEPD e inscribirse en el portal dispuesto para esta medida.
Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos ha diseñado un portal de información y gestión en torno a la nueva reglamentación. En especial, para las PYMES, está el portal Facilita, en el que las empresas directamente pueden registrarse para ponerse al día con la nueva norma.
En el portal, está dispuesto uno de los puntos críticos que da sentido a toda esta operación y es la: notificación preceptiva de quiebra de seguridad.
Es a esta página a donde debemos acudir cuando sospechemos que nuestras bases de datos han sido atacadas por hackers, virus, robo o cualquiera otra amenaza que suponga una brecha de seguridad respecto a la información de nuestros usuarios.
Lo dicho, la actitud ante la nueva reglamentación es proactiva, y somos nosotros los responsables de su cumplimiento, por lo que se impone no ya que alguien dentro de la empresa ejerza de DPO, sino que alguien en la empresa conozca todo el procedimiento a seguir para la recopilación, resguardo y tratamiento de los datos, sino para la notificación inmediata en caso de algún tipo de crisis.
El DPO no sólo tendría que hacerse responsable de velar porque se hagan lcumplan las nuevas disposiciones, sino que procurará que todos en la organización se vayan adaptando a esta nueva cultura. Y en esta labor tiene una función que cumplir el proceso de formación de las nuevas incorporaciones a la empresa.
A modo de conclusión
¿Entramos en pánico? ¿Es un nuevo Efecto 2000? Hacemos un llamado a la calma, a llevar estos nuevos comportamientos que vienen de los nuevos problemas generados por la Sociedad de la Información y las disposiciones europeas, a la cultura empresarial. Los usuarios serán cada vez más conscientes y celosos de sus datos y mostrar de forma transparente que los cuidamos, será parte de nuestra credibilidad y reputación.
Dicho esto, las penalizaciones del sistema son bastante graves y con alto nivel desestabilizador para las empresas. Proactivamente, tomemos en serio las nuevas disposiciones.