¿Qué es el RGPD?
El Parlamento Europeo adoptó el RGPD (Reglamento General de Protección de Datos) en abril de 2016, reemplazando una directiva de protección de datos desactualizada de 1995. El RGPD trae disposiciones que requieren que las empresas protejan los datos personales y la privacidad de los ciudadanos de la UE para las transacciones que ocurren dentro de los estados miembros de la UE. El RGPD también regula la exportación de datos personales fuera de la UE.
Las disposiciones son consistentes en los 28 estados miembros de la UE, lo que significa que las empresas tienen un solo estándar que cumplir dentro de la UE. Sin embargo, ese estándar es bastante alto y requiere que la mayoría de las compañías hagan una gran inversión para cumplir con el Reglamento General de Protección de Datos.
Según un informe realizado en Estados Unidos, aproximadamente dos tercios de las empresas estadounidenses creen que el RGPD les exige reconsiderar su estrategia en Europa. Aún más (85%) ve que el RGPD los pone en desventaja competitiva con las empresas europeas.
¿Por qué existe el RGPD?
La respuesta corta a esta pregunta es la preocupación pública por la privacidad. Europa en general ha tenido durante mucho tiempo reglas más estrictas sobre cómo las empresas utilizan los datos personales de sus ciudadanos. El RGPD reemplaza la directiva de protección de datos de la UE, que entró en vigencia en 1995. Esto fue mucho antes de que Internet se convirtiera en el centro de negocios que es hoy. En consecuencia, la directiva está desactualizada y no aborda muchas formas en que los datos se almacenan, recopilan y transfieren hoy.
¿Cuán real es la preocupación pública por la privacidad?
Es significativo y crece con cada nueva violación de datos de alto perfil. Según el Informe de privacidad y seguridad de datos, en el cual encuestaron a 7.500 consumidores en Francia, Alemania, Italia, el Reino Unido y los Estados Unidos, el 80% de los consumidores dijo que la pérdida de datos bancarios y financieros es una de las principales preocupaciones. La información de seguridad perdida, por ejemplo: contraseñas, y la información de identidad, por ejemplo: pasaportes o licencia de conducir, se mencionaron como una preocupación del 76% de los encuestados.
Una estadística alarmante para las empresas que se ocupan de los datos del consumidor es que el 62% de los encuestados dicen que culparían a las empresas por la pérdida de datos en caso de violación, no al pirata informático. El informe concluyó que «a medida que los consumidores estén mejor informados, esperan más transparencia y capacidad de respuesta de los administradores de sus datos».
La falta de confianza en cómo las empresas tratan su información personal ha llevado a algunos consumidores a tomar sus propias contramedidas. Según el informe, el 41% de los encuestados dijeron que intencionalmente falsifican datos al suscribirse a los servicios en Internet. Las preocupaciones de seguridad, el deseo de evitar el marketing no deseado (spam) o el riesgo de reventa de sus datos estaban entre las principales preocupaciones.
El informe también muestra que los consumidores no perdonarán fácilmente a una empresa una vez que ocurra una violación que exponga sus datos personales. El 62% de los encuestados dijeron que boicotearían una empresa que parecía ignorar la protección de sus datos. El 50% de todos los encuestados dijeron que tendrían más probabilidades de comprar en una empresa que se toma en serio la protección de datos.
¿Qué tipos de datos de privacidad protege el RGPD?
- Información básica de identidad como nombre, dirección y números de identificación.
- Datos web como ubicación, dirección IP y datos de cookies.
- Salud y datos genéticos.
- Información biométrica.
- Datos raciales o étnicos.
- Opiniones políticas.
- Orientación sexual.
¿A qué empresas afecta el RGPD?
Cualquier empresa que almacene o procese información personal sobre ciudadanos de la UE dentro de los estados de la UE debe cumplir con el RGPD, incluso si no tienen presencia comercial en la UE. Los criterios específicos para las empresas que deben cumplir son:
- Una presencia en un país de la UE.
- No tiene presencia en la UE, pero procesa datos personales de residentes europeos.
- Más de 250 empleados.
Menos de 250 empleados, cuando su procesamiento de datos afecta los derechos y libertades de los interesados, no es ocasional o incluye ciertos tipos de datos personales confidenciales. Eso efectivamente significa casi todas las empresas.
Una nueva encuesta preguntó a los ejecutivos qué industrias serían las más afectadas por RGPD: El 53% vio que el sector tecnológico se vio más afectado, seguido por los minoristas de venta online por el 45%, las compañías de software con un 44%, los servicios financieros con un 37%, los servicios online y SaaS con un 34%, y los productos envasados minoristas y de consumo con un 33%.
¿Quién dentro de mi empresa será responsable del cumplimiento?
El RGPD define varios roles que son responsables de garantizar el cumplimiento: controlador de datos, procesador de datos y el oficial de protección de datos. El controlador de datos define cómo se procesan los datos personales y los fines para los que se procesan. El controlador también es responsable de asegurarse de que los contratistas externos cumplan.
Los procesadores de datos pueden ser los grupos internos que mantienen y procesan registros de datos personales o cualquier empresa de outsourcing que realice todas o parte de esas actividades. El RGPD responsabiliza a los procesadores por infracciones o incumplimiento. Es posible, entonces, que tanto tu empresa como el socio de procesamiento, como un proveedor de la nube, sean responsables de las multas, incluso si la culpa es completamente del socio de procesamiento.
El RGPD requiere que el controlador y el procesador designen un DPO para supervisar la estrategia de seguridad de datos y el cumplimiento del RGPD. Las empresas deben tener un DPO si procesan o almacenan grandes cantidades de datos de ciudadanos de la UE, procesan o almacenan datos personales especiales, monitorean regularmente a los interesados o son una autoridad pública. Algunas entidades públicas como la policía pueden estar exentas del requisito de DPO.
Alrededor del 55% de los encuestados informaron que habían reclutado al menos a 6 nuevos empleados para lograr el cumplimiento de RGPD.
¿Qué sucede si mi empresa no cumple con el RGPD?
El RGPD permite fuertes sanciones de hasta 20 millones de euros o el 4% de la facturación anual mundial, lo que sea mayor, por incumplimiento. Según un informe, el 52% de las empresas creen que serán multados por incumplimiento.
Un requisito particularmente difícil será el derecho a ser olvidado. Casi el 66% de las empresas dicen que no están seguros si pueden purgar la información personal de un individuo para siempre. Eso deja a muchas organizaciones vulnerables a multas.
Conoce ahora nuestra solución Recordia para la grabación de llamadas e interacciones que te ayuda a cumplir con RGPD.
¿Qué debe hacer mi empresa para cumplir con RGPD?
Múltiples informes de investigación muestran que muchas, si no la mayoría de las organizaciones, aún no cumplen totalmente con el RGPD. Si su organización no está segura de su estado de cumplimiento normativo y ha determinado un riesgo significativo de incumplimiento, seguir estos pasos puede llevarlo por el camino correcto.
Aquí te dejo el listado (check list) de cumplimiento normativo que realizó la Agencia Española de Protección de Datos (aepd)
Establecer un sentido de urgencia que provenga de la alta dirección: destacando la importancia del liderazgo ejecutivo para priorizar la preparación tecnológica. El cumplimiento de los estándares globales de higiene de datos es parte de esa preparación.
Involucrar a todos los interesados: Solo TI está mal preparado para cumplir con los requisitos de RGPD. Comience un grupo de trabajo que incluya marketing, finanzas, ventas, operaciones: cualquier grupo dentro de la organización que recopile, analice o que haga uso de la información personal de los clientes. Con un grupo de trabajo de RGPD, pueden compartir mejor la información que será útil para aquellos que implementan los cambios técnicos y de procedimiento necesarios, y estarán mejor preparados para enfrentar cualquier impacto en sus equipos.
Guía de RGPD para Responsables del Tratamiento.
Realice evaluaciones periódicas de riesgos: desea saber qué datos almacena y procesa sobre los ciudadanos de la UE y comprender los riesgos que lo rodean. Recuerde, la evaluación de riesgos también debe describir las medidas tomadas para mitigar ese riesgo.
Contratar o designar un Oficial de Protección de Datos (DPO) si aún no lo ha hecho: el RGPD no dice si el DPO debe ser una posición discreta, por lo que presumiblemente una compañía puede nombrar a alguien que ya tiene un papel similar al cargo siempre que esa persona pueda garantizar la protección de la información personal sin conflicto de intereses. De lo contrario, deberá contratar un DPO. Dependiendo de la organización, ese DPO podría no necesitar ser a tiempo completo. Las reglas RGPD permiten que un DPO funcione para varias organizaciones, por lo que un DPO virtual sería como un consultor que trabaja con varias empresas según sea necesario.
Cree y mantenga un plan de protección de datos: la mayoría de las empresas ya tienen un plan establecido, pero deberán revisarlo y actualizarlo para asegurarse de que se alinee con los requisitos del RGPD. Revisar y actualizar periódicamente.
No se olvide de los dispositivos móviles: según una encuesta de ejecutivos de TI y seguridad, el 64% de los empleados accede a la información personal de clientes, socios y empleados mediante dispositivos móviles.
Documente su progreso de cumplimiento del RGPD: con el paso del tiempo, las organizaciones deben demostrar que están progresando para completar el Registro de Actividades de Procesamiento (RoPA) para evitar ser un blanco fácil para los reguladores.
Implemente medidas para mitigar el riesgo: una vez que haya identificado los riesgos y cómo mitigarlos, debe implementar esas medidas. Para la mayoría de las empresas, eso significa revisar las medidas de mitigación de riesgos existentes. Al hacer un inventario de las aplicaciones y completar el RoPA, el equipo de RGPD ahora puede detectar e investigar cualquier riesgo asociado con los datos y determinar el nivel de seguridad apropiado que se considera necesario para proteger esos datos.
Conozca Recordia, una solución de grabación de interacciones que lo ayudará a cumplir con el Reglamento General de Protección de Datos.
Pruebe los planes de respuesta a incidentes: el RGPD exige que las empresas denuncien las infracciones dentro de las 72 horas. Qué tan bien los equipos de respuesta minimizan el daño, esto afectará directamente el riesgo de multas de la compañía por la violación. Asegúrese de poder informar y responder adecuadamente dentro del período de tiempo.
Configure un proceso para la evaluación continua: desea asegurarse de seguir cumpliendo, y eso requerirá monitoreo y mejora continua. Algunas compañías están considerando incentivos y sanciones para garantizar que los empleados sigan las nuevas políticas. Según una encuesta realizada, el 25% podría retener bonos o beneficios si ocurre una violación de RGPD, y el 34% recompensará a los empleados por cumplir con RGPD.
Haga todo esto con el objetivo de mejorar su negocio: según una encuesta realizada, el 74% de los encuestados cree que cumplir con los requisitos de RGPD será una ventaja competitiva. El cumplimiento aumentará la confianza del consumidor. Más importante aún, las mejoras técnicas y de proceso necesarias para cumplir con los requisitos de RGPD deberían permitir la eficiencia en la forma en que las organizaciones administran y protegen los datos.