Seis pasos para cumplir el GDPR

GDPR

GDPR, la nueva normativa europea de protección de datos, es de obligada aplicación desde el pasado viernes para todas las empresas (grandes o pequeñas) que manejen y utilicen datos de cualquier persona física de la Unión Europea. El reglamento de protección de datos amplía el ámbito de su aplicación a empresas no europeas que tengan su residencia en cualquier parte del mundo, siempre que procesen datos de residentes de la UE.

El Reglamento General de Protección de Datos entró en vigor en mayo de 2016, aunque la obligatoriedad de su aplicación no se ha producido hasta ahora para que empresas, organizaciones, organismos e instituciones públicas tuvieran un margen de tiempo temporal para adaptarse a ella.

GDPR actualiza una normativa de los años 90 que había quedado obsoleta ante la llegada de Internet, la nueva y la era de la conectividad y tiene el objetivo de reforzar la protección de datos para todos los individuos de la Unión Europea, regular la exportación de datos personales fuera de la UE y establecer un conjunto de “derechos digitales” para todas las personas físicas de su ámbito de actuación.

Aunque el objetivo principal del GDPR es dotar de un mayor control a los ciudadanos y residentes de sus datos personales, también ofrece a las empresas un entorno más transparente para operar, simplificando el entorno regulador de los negocios internacionales y unificando la regulación dentro de la UE. Más allá de las exigencias de la normativa, la UE estima que esta normativa ahorrará a las empresas un global de 2.300 millones de euros anuales.

Seis pasos para cumplir el GDPR

El cumplimiento de la normativa debe ser una prioridad para cualquier empresa que registre o procese datos de cualquier individuo de la UE. Tanto las que piensan aprovecharla para impulsar su negocio e imagen de marca teniendo en cuenta la necesaria mejora de la economía digital emergente, como simplemente para cumplir un reglamento que contempla elevadas sanciones por infracciones que pueden alcanzar los 20 millones de euros o el 4% del volumen de ingresos anuales de una empresa. Si no lo has hecho ya, un resumen con seis pasos para asegurar el cumplimientosería:

  1. Entender el marco legal de GDPR. El primer paso para asegurar el cumplimiento es entender la legislación en vigor, así como las implicaciones de no cumplir con las normas requeridas, realizando una auditoría de cumplimiento con el marco legal de GDPR. Parte de esta auditoría de cumplimiento, no importa el tamaño de la compañía, se hace contratando a un técnico de protección de datos para que nos explique las regulaciones y aplicarlas al negocio.
  2. Crear un registro de datos. Una vez que las empresas tienen una idea más clara de su disposición a cumplir con los requisitos reglamentarios, deben mantener un registro del proceso. Esto debe hacerse a través del mantenimiento de un Registro de Datos – esencialmente un diario de GDPR. Cada país cuenta con una Asociación de Protección de Datos (DPA), que será responsable de hacer cumplir el GDPR. Es esta organización la que juzgará si una empresa ha sido compatible con la determinación de posibles sanciones por incumplimiento.
  3. Clasificar los datos. En este paso se trata de entender qué datos las empresas necesitan proteger y cómo se está haciendo. En primer lugar, las empresas deben encontrar información personal identificable (PII) – información que pueda identificar a alguien directamente o indirectamente – de ciudadanos de la UE. Es importante identificar dónde se almacena, quién tiene acceso a ella, con quién se comparte, etc.
  4. Empezar con la prioridad principal. Una vez que los datos han sido identificados, es importante comenzar a evaluar los datos, incluyendo cómo se están produciendo y protegiendo. Con cualquier dato o aplicación, la primera prioridad debe ser proteger la privacidad del usuario. Las empresas deben completar una Evaluación de Impacto de la Privacidad (PIA) y la Evaluación de Impacto de la Protección de Datos (DPIA) de todas las políticas de seguridad, evaluando los ciclos de vida de los datos desde el origen hasta su destrucción.
  5. Evaluar y documentar riesgos y procesos adicionales. Aparte de los datos más sensibles, la siguiente etapa es evaluar y documentar otros riesgos, con el objetivo de averiguar dónde puede ser que el negocio más vulnerable durante otros procesos. Es vital para las empresas mantener un documento de hoja de ruta para mostrar a la DPA cómo y cuándo van a abordar estos riesgos pendientes. Son estas acciones las que muestran a la DPA que el negocio se está tomando el cumplimiento y la protección de datos seriamente.
  6. Revisar y repetir. El último paso consiste en revisar el resultado de los pasos anteriores y remediar cualquier posible eliminación, modificación y actualización cuando sea necesario. Una vez que esto se haya completado, las empresas deben determinar sus próximas prioridades y repetir el proceso desde el cuarto paso.