ACF Blog

¿Cumples con el RGPD? 6 preguntas para probar el cumplimiento

Escrito por Jean Moncrieff | 19-jul-2018 14:00:00

El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2018: nuevas leyes destinadas a estandarizar la protección de datos en toda Europa.

Si bien las directrices de privacidad y protección de datos existen en dicho continente desde 1980, nunca se han aplicado de forma coherente, incluso después de la directiva de 1995. Sin embargo, desde entonces, la adopción generalizada de tecnologías de Internet y la tendencia hacia la infraestructura basada en la nube han cambiado la forma en que se procesan, almacenan y transfieren los datos. Para mantenerse al día con estos cambios rápidos y proteger a las personas, se requerían nuevas leyes de protección de datos e ingresar al RGPD. Ahora, cualquier organización que opere dentro de la Unión Europea (UE) debe garantizar el cumplimiento de esta legislación.

Como proveedor de software, somos muy conscientes de los desafíos asociados con el RGPD. Hemos tenido que pensar en adelantarnos a nuestros clientes en cuanto a soluciones, asegurarnos de que nuestros socios cumplan, revisar la seguridad de nuestros datos y poner los registros en orden en múltiples sistemas.

De alguna manera, toda la experiencia me recordó el período previo al 2000, pero con una pequeña diferencia. A diferencia de ese año, el cumplimiento de RGPD no es una solución parche de software. En cambio, el cumplimiento de RGPD es una obligación a largo plazo, con sanciones que llaman la atención.

Aquí hay un recordatorio de esas multas administrativas de RGPD:

  • El importe más alto es de 10 millones de euros, o el 2% de facturación global anual por violaciones de datos o incumplimiento de sus obligaciones.

  • El importe más alto es de 20 millones de euros, o el 4% de la facturación global anual en el caso de que se haya infringido la privacidad de alguien.

Una de las principales razones por las que no hubo fallas generalizadas asociadas con el año 2000 es que esas organizaciones, sus juntas directivas y sus departamentos de TI investigaron, planificaron y actuaron para evitar que se convirtiera en un problema.

Del mismo modo, el viejo adagio "falla para planificar, planifica para fallar" es muy pertinente.

Si no planificas adecuadamente en el período previo al 25 de mayo, es probable que ahora no estés actuando de conformidad con el RGPD. Y aunque nada se ha detenido, corres el riesgo de llevar tu negocio a un apuro.

Entonces, ¿qué tan obediente eres? Aquí puedes saberlo rápidamente:

  1. ¿Qué datos maneja tu organización sobre los clientes?
  2. ¿Dónde se almacenan los datos de tus clientes, incluidas las copias de seguridad?
  3. ¿Qué tan bien funcionan tus procesos actuales y quién los gestiona?
  4. ¿Cómo informar a tus clientes de sus derechos existentes bajo la DPA?
  5. ¿Qué pasaría si eliminara el registro? ¿Muchos sistemas tienen registros vinculados (por ejemplo, padres e hijos)?
  6. Si otras regulaciones también afectan los datos que posee (especialmente en el caso de los datos de atención médica)

Si no puedes responder bien a una o más de estas preguntas, tienes un problema y te resultará difícil desarrollar un plan de protección de datos. Es más, implementar procesos efectivos resultará casi imposible. Después de todo, esto no era solo una actualización de software. Es un cambio total en la forma en que tu organización almacena, procesa y protege los datos de los clientes.

Uno de los mayores desafíos que he encontrado es cuando los datos se almacenan en sistemas dispares. Por ejemplo, si tienes datos en cinco sistemas diferentes, debes decidir si deseas mantener los detalles de consentimiento en cinco sistemas o consolidarlos en un único almacén de datos. Y si optas por administrar el consentimiento en varios sistemas, ¿cuál debes verificar cuando necesites establecer el estado del consentimiento?

La cuestión del consentimiento junto con el derecho a borrar (o el derecho al olvido como se le conoce popularmente) ha atraído mucha atención, al menos en lo que respecta a los sistemas informáticos. En el primer caso, el consentimiento es principalmente una cuestión de proceso o una simple bandera dentro de los sistemas apropiados que se debe verificar. Mientras que, el borrado, requiere la eliminación de los detalles de un cliente por completo.

Bajo este contexto, la mayoría de los sistemas te permitirán eliminar los datos del cliente. Sin embargo, si tienes una gran cantidad de datos distribuidos en aplicaciones o necesitas eliminar datos por lotes en un límite de tiempo para cumplir con su política de retención (por ejemplo, eliminar todos los contactos no activos de más de un año), a menos que tengas los sistemas adecuados en su lugar, es posible que necesites un pequeño ejército de personas que eliminen registros para mantener el cumplimiento.

Este es uno de los muchos ejemplos de cómo el RGPD está afectando a las organizaciones. Como ocurre con la mayoría de los proyectos, el RGPD necesita asesoramiento legal, habilidades de IT, habilidades de marketing y participación de RRHH. Tener los hechos, crear un plan y encontrar a las personas adecuadas puede significar la diferencia entre el éxito y el fracaso. Si eres de esas empresas que se sintió abrumada en el período previo al 25 de mayo y adoptó una actitud de esperar y ver qué pasa, entonces es hora de poner la casa en orden.

En definitiva, el RGPD afectará a casi todas las empresas del Reino Unido, la UE y el mundo en general. Si aún no estás seguro de qué hacer, contáctanos.