Apenas restan siete meses para que entre en vigor en toda la Unión Europea la próxima regulación de protección de datos. GDPR (en siglas, General Data Protection Regulation) tendrá importantes consecuencias para todas las empresas, independientemente de su tamaño y sector de actividad, al afectar a todos los datos de carácter personal que manejan de sus clientes. Las numerosas novedades que introduce, además, aconsejan iniciar de forma anticipada un plan de adaptación progresivo, que actúe en cinco áreas clave de la organización.
El nivel de seguridad y privacidad de los datos personales sube un escalón en Europa, con la entrada en vigor de esta norma, más garantista de los derechos de los ciudadanos. De hecho, introduce cambios importantes, como la carga de la prueba, que a partir de ahora recaerá siempre en las empresas, al tener que demostrar que sus infraestructuras tecnológicas garantizan la protección de los datos personales que maneja o utiliza, y además hacerlo por defecto. Es decir, acreditar un uso de la información personal de sus clientes ajustado a la finalidad por la que han sido recabados, o incluso limitar el plazo en el que las empresas puedan almacenarlos.
Y no sólo eso. Toda organización, que opere con datos de ciudadanos europeos, estará obligada a garantizar el acceso a los mismos de su titular, en cualquier momento, e incluso proceder a su borrado, si así lo solicita. Sin importar su lugar de procedencia o el país donde tiene su sede principal, las empresas que utilicen datos personales de ciudadanos europeos estarán sometidas a esta norma. Se puede considerar, por tanto, como la primera legislación mundial de protección de datos.
La seguridad e inviolabilidad de información personal es otro gran propósito del regulador que, con esta iniciativa, insta a las empresas a implementar medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado al riesgo. Y eso incluye la obligación de notificar, en un plazo máximo de 72 horas, cualquier ataque o peligro que puedan sufrir los datos de carácter personal que almacena.
También es destacable la nueva necesidad de contar con el consentimiento expreso del cliente, antes de que cualquier organización utilice sus datos. De hecho, la cesión tácita de este derecho queda revocada y, desde su entrada en vigor, será necesaria la voluntad explícita, libre, concreta, inequívoca y bien informada del cliente, antes de que cualquier empresa pueda utilizar sus datos.
Por último, es necesario abordar la responsabilidad en el cumplimiento de esta norma, ya que serán las organizaciones las que deban demostrar el cumplimiento de la legalidad y la aplicación del nuevo reglamento. Y, para ajustarse a estas nuevas reglas del juego, cualquier organización deberá actuar en cinco grandes dimensiones:
La primera es la gobernanza regulatoria, por el que las empresas deben integrar los propósitos de GDPR en su estrategia corporativa, políticas internas y relaciones con terceros.
La segunda afecta a la comunicación hacia los empleados y tiene que ver con la concienciación y formación en estas nuevas prácticas de privacidad a los profesionales que traten estos datos.
La tercera engloba todos los procesos, departamentos y organización interna de la empresa en cuestión, que también deben respetar las salvaguardas que la nueva reglamentación establece.
La cuarta pasa por un análisis del ciclo de vida completo de los datos, desde su búsqueda y descubrimiento hasta su posterior gestión, intercambio y almacenaje. Las empresas deben blindar los entornos donde intercambian información personal de sus clientes y asegurarse que no son vulnerados en ninguno caso.
Y, por último, es preciso definir un plan preventivo contra cualquier filtración, vulneración o ataque externo que pueda poner en peligro la privacidad de los datos personales. Para ello, será preciso contar con políticas de monitorización y seguridad que refuercen los actuales estándares y estén ajustados a los nuevos requisitos de RGPD.
Todos estos escenarios deben recibir el tratamiento adecuado, en cualquier plan de adaptación que se precie, y ser resueltos antes del 25 de mayo próximo, por lo que resulta aconsejable iniciar su análisis y aplicación, a la mayor brevedad posible.
