El tratamiento de datos personales es un tema importante que las compañías han debido cuidar en los últimos tiempos.
El próximo 25 de Mayo todas las empresas deberán cumplir el GDPR (Reglamento Europeo de Protección de Datos), por lo que muchas empresas ya están manos a la obra para adaptarse a esta nueva normativa cuanto antes.
La ley entró en vigor el 25 de Mayo de 2016, aunque la fecha obligatoria para su aplicación es hasta el 25 de Mayo del presente año. Esta adaptación implicará una fuerte planificación y transformación interna siguiendo una determinadas pautas, por lo que se debe confeccionar una hoja de ruta para los empleados, procesos y sistemas de cada empresa se adapten a la nueva normativa.
Falta de conocimiento de la normativa
Pese a que faltan menos de 4 meses para que todas las empresas estén obligadas al cumplimiento de la normativa, la realidad es que existe un gran desconocimiento por parte de los empresarios de las nuevas medidas que deben tomar en lo referente al tratamiento de datos personales en sus compañías.
Datos como la fecha de nacimiento, direcciones de email o direcciones postales es información privada del cliente/usuario, aunque todavía haya empresas que no respeten esta información, y por tanto no estarían cumpliendo el GDPR, exponiéndose a graves sanciones a partir de la inminente entrada efectiva de la ley.
Pero el desconocimiento no se limita solo a éste ámbito, sino que va más allá. En gran parte de las organizaciones no tienen claro quien debe liderar el proceso, si debe ser el CEO de la corporación, el CISO, el departamento de IT… pese a no ser totalmente estrictos en este sentido, cada compañía puede hacerlo según su estructura, lo ideal es que cada compañía involucre a un alto ejecutivo en el proceso de GDRP para realizarlo de forma óptima.
Principales cambios y medidas a adoptar
Algunos de los principios fundamentales en materia de protección de datos que los empresarios deben cumplir rigurosamente antes del 25 de Mayo son los siguientes:
- Los datos deberán ser recogidos con fines perfectamente determinados, explícitos y legítimos.
- Los datos deben ser tratados de manera lícita, transparente y real, y siempre con el consentimiento del interesado.
- Los datos personales siempre deben ser exactos, y actualizados cuando fuera necesario.
- Los datos personales solo deben preservarse durante el tiempo necesario para su fin, debiendo ser eliminados posteriormente.
- Siempre deben ser tratados garantizando su seguridad e integridad.
Además, el GDPR refuerza especialmente:
- El «derecho al olvido»; el interesado tendrá derecho a obtener, sin dilación alguna, la supresión de los datos personales que le conciernen.
- El consentimiento del interesado, que siempre ha de ser informado y específico para una finalidad concreta.
- La edad mínima para que el tratamiento de datos sea lícito deberá ser de 16 años. Por debajo de esa edad, se necesitará el consentimiento de sus tutores legales (hasta el momento en España la edad mínima estaba establecida en 14 años).
- Se consideran categorías especiales aquellas relacionadas con etnia o raza, convicciones religiosas, filosóficas o políticas, datos genéticos o biométricos, relativos a la vida u orientacion sexual, afiliación sindical o relativos a la salud.
- En cuanto a la transferencia de datos personales a un tercer país u organización podrá realizarse siempre que este garantice un nivel de protección adecuado.
Sanciones
En lo referente a las sanciones también existen un gran desconocimiento por parte de las empresas. Lo preocupante es que el 20% de las empresas españolas encuestadas no parecen estar preocupadas por una posible multa o sanción, puntualizando que no les importaría o no les causaría demasiado inconveniente.
Un 73% desconoce la cantidad de la sanción que podría acarrearle (la media europea tampoco es muy alentadora, con un 66%), aunque el 82% sí reconoce que lo que más le importaría en el caso de una hipotética penalización es como afectaría a su imagen de marca o a su reputación.
Estas cifras quizá mejorarían, y las empresas serían un poco más responsables corporativamente en materia de protección de datos, si supieran que las sanciones administrativas pueden alcanzar los 100 millones de euros, o hasta un 4% del volumen de negocios mundial anual.
Autor: Pedro Carmona