Los datos son el nuevo oro. De la mano de tecnologías como el Big Data, se han convertido en una fuente de información de gran valor para las empresas, tanto para captar nuevos clientes como para fidelizar a los existentes e, incluso, para reducir el riesgo que implica el diseño y lanzamiento de nuevos productos y servicios. Sin embargo, la gestión de la información personal es un proceso sensible sujeto a una férrea normativa.
En 2016, el Parlamento Europeo aprobó el Reglamento General de Protección de Datos (RGPD) con el objetivo de amparar el derecho a salvaguardar la información privada y reforzar el control sobre las personas físicas, jurídicas y organismos públicos que la utilizan. Dos años más tarde, en 2018, dicha legislación pasó a ser de cumplimiento obligatorio para todos los autónomos, pymes y sociedades que estén establecidos u operen en la Unión Europea, monitoricen el comportamiento de las personas y les ofrezcan bienes o servicios.
Los principios básicos que rigen el RGPD
El RGPD gira alrededor de una serie de nociones que regulan la protección, el tratamiento y el envío internacional de los datos personales:
- La información debe ser recabada con claridad y transparencia, de forma que el interesado pueda comprenderla fácilmente.
- La recopilación y el tratamiento de los datos deben ser lícitos, de manera que se debe recabar la menor cantidad de información posible y durante el tiempo estrictamente imprescindible.
- La persona debe dar su consentimiento expreso para que recopilen y usen sus datos, el cual debe ser otorgado mediante una acción voluntaria, inequívoca y granular; o sea, específica para cada una de las finalidades de tratamiento.
- La información debe ser exacta y se debe mantener actualizada y almacenada de manera segura.
- Los datos no deben salir del Espacio Económico Europeo, a menos que sea necesario y se garantice su seguridad en todo momento.
¿Cómo implantar la protección de datos en tu negocio?
El RGPD responde al principio de la responsabilidad proactiva, lo cual significa que debes tomar medidas para proteger la integridad de los datos y evitar intromisiones que puedan ponerlos en riesgo. Para ello, tendrás que:
- Elegir a un delegado de Protección de Datos (DPD), una figura imprescindible si tu negocio se enfoca en el tratamiento de información personal, la necesitas para desarrollar tu actividad o utilizas sistemáticamente a gran escala.
- Llevar un Registro de Actividades de Tratamiento con diferentes ficheros divididos por los tipos de datos que recoges y la finalidad de su tratamiento, en los que incluyas, además, dónde guardas esa información, durante cuánto tiempo necesitas conservarla, si vas a cederla fuera del país y las medidas que has adoptado para garantizar su seguridad.
- Realizar un Análisis de Riesgos en el que evalúes el peligro que representa para las personas el tratamiento de sus datos, así como el riesgo reputacional para tu negocio o las implicaciones legales de una fuga de los mismos. Tendrás que valorar los procesos de tratamiento y almacenamiento de la información que aplicas, así como la sensibilidad del tipo de datos que recopilas, su uso y otros elementos relevantes para identificar las medidas de seguridad que necesitas establecer.
- Llevar a cabo una Evaluación de Impacto, si tratas datos de forma masiva o trabajas con categorías especiales. Tendrás que medir, de manera más específica, el nivel de riesgo que el tratamiento de esa información supone para los derechos y libertades de sus titulares, identificando las principales amenazas, las probabilidades reales de que se materialicen y el impacto que podrían tener.
- Aplicar las medidas de seguridad, técnicas y organizativas necesarias para proteger los datos y garantizar el cumplimiento normativo. También tendrás que elaborar un plan de acción por si se produce una violación de seguridad, y no olvides que tienes un plazo máximo de 72 horas para comunicar a la AEPD cualquier problema que se produzca.
Por último, cabe aclarar que en España se aprobó la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales para transponer las medidas del RGPD. Si la incumples y sufres una brecha de seguridad, las sanciones máximas ascienden a entre 10 y 20 millones de euros o entre el 2 y 4% del volumen de negocio de la empresa.