La mayoría de los que trabajamos en empresas que procesan datos personales estamos ya al tanto de la bomba que es el «GDPR». Este esperado reglamento de protección de datos entrará en vigor en apenas doce meses, el 25 de mayo de 2018. Muchas organizaciones se preguntan cuál es la mejor manera de iniciar una campaña de preparación para el RGPD y en qué áreas clave deben centrarse. Puede parecer una tarea desalentadora teniendo en cuenta que las consecuencias de no cumplir los requisitos son tan graves: es decir  multas por valor de hasta 20 millones de euros o el 4% de la facturación anual global.

Pero, ¡no tema! Hemos creado una guía rápida que contiene los cinco principales retos a los que se enfrentan muchas empresas al iniciar una campaña GDPR, junto con consejos sobre la mejor forma de superarlos.

1. Crear conciencia del GDPR en toda la organización

Nuestro consejo: Consiga la participación de los actores clave y elabore un plan de concienciación.

Como dice el viejo refrán No prepararse, prepararse para fracasar. Asegúrese de que los responsables de la toma de decisiones y las principales partes interesadas de su organización son conscientes de que la ley está cambiando y garantice la implicación de los altos cargos. Le resultará muy beneficioso contar con un patrocinador ejecutivo cuyo trabajo consistirá en defender la campaña y garantizar que se desarrolle sin problemas.

Para dar el pistoletazo de salida a su proyecto del GDPR también le recomendamos que empiece por echar un vistazo al registro de riesgos de su organización, si dispone de uno. Si no lo tiene, será una herramienta muy útil para compilarlo cuando comience su viaje hacia el GDPR.

Recuerde que el tiempo es esencial. Empiece lo antes posible para evitar el pánico de última hora y aproveche el año siguiente para concienciar sobre los cambios que se avecinan. Nuestro curso de eLearning sobre el RGPD es un buen punto de partida para concienciar a sus empleados.

2. Evaluar los métodos actuales de tratamiento de datos y ajustarlos para cumplir las expectativas del GDPR

Nuestro consejo: Empiece por identificar y anotar qué datos personales posee, de dónde proceden y con quién los comparte. Asimismo, documente cualquier medida de cumplimiento que ya esté en vigor.

Le recomendamos que lleve a cabo una auditoría de la información. Por ejemplo, si tiene datos personales inexactos y los ha compartido con otra organización, tendrá que informar a la otra organización para que pueda modificar sus propios registros. Por lo tanto, es fundamental saber qué información posee y con qué fin la utiliza. También es importante hacer un seguimiento de los cambios que realice en cualquier actividad de procesamiento de datos para lograr el cumplimiento del GDPR. Hacerlo le ayudará a demostrar el cumplimiento del principio de responsabilidad del GDPR.

3. Nombramiento de un responsable de la protección de datos

Nuestro consejo: Determine si el nombramiento de un RPD es un requisito obligatorio, o deseable, para su organización. Lo ideal sería identificar a alguien que asumiera la responsabilidad del cumplimiento de la protección de datos, teniendo en cuenta que el riesgo de una infracción en virtud del RGPD conlleva una multa tan cuantiosa.

Entre las organizaciones que necesitarán nombrar a un RPD se encuentran las autoridades públicas y aquellas cuyas actividades impliquen el control regular y sistemático de los interesados a gran escala. Es importante asegurarse de que alguien de su organización, o un asesor externo en materia de protección de datos, asuma toda la responsabilidad del cumplimiento de la normativa sobre protección de datos. Entre las cualidades clave necesarias para desempeñar esta función se incluyen tener los conocimientos, el apoyo y la autoridad necesarios para gestionar la protección de datos con eficacia.

También es aconsejable establecer un marco de comunicación tan pronto como haya nombrado a su RPD. Éste debe identificar quién informará a quién y dónde se situará este papel dentro de la estructura de su organización para evitar cualquier confusión.

4. Aplicación de nuevos métodos de tratamiento de datos

Nuestro consejo: Documente y aplique nuevas políticas y procedimientos de cumplimiento y forme a su equipo de tratamiento de datos de acuerdo con estas nuevas medidas. Revise todos los contratos y consentimientos existentes y actualícelos de acuerdo con el GDPR.

Éstas deben tener en cuenta cambios clave como la información sobre la privacidad, la mejora de los derechos individuales y las solicitudes de acceso del sujeto, así como el consentimiento.

Revise sus avisos de privacidad actuales y cree un plan para realizar los cambios necesarios a tiempo para la aplicación del GDPR.

Compruebe sus procedimientos para asegurarse de que cubren todos los nuevos derechos reforzados que tienen las personas en virtud del GDPR, incluido cómo borraría los datos personales o cómo proporcionaría los datos electrónicamente y en un formato de uso común.

Actualice sus procedimientos y planifique cómo gestionará las solicitudes de acceso de los sujetos dentro del nuevo plazo de un mes.

Revise cómo está buscando, obteniendo y registrando el consentimiento y si necesita hacer algún cambio. Recuerde documentar todos los cambios realizados. Además, tenga en cuenta que el GDPR también cambiará la forma de procesar los datos personales de los niños. Es aconsejable empezar a pensar ya en los sistemas que puede implantar para verificar la edad de las personas y recabar el consentimiento de los padres o tutores para la actividad de tratamiento de datos.

5. Identificar y comprender cómo hacer frente a una violación de datos

Nuestro consejo: Disponga de procedimientos claros de notificación de violación de datos que le permitan detectar e informar de la violación en el nuevo plazo de 72 horas.

Cree un registro interno de violaciones de datos para registrar y realizar un seguimiento de la investigación de cualquier violación que se produzca. También es importante evaluar qué datos posee que requieran notificación si se produjera una violación.

Asegúrese de que sus socios y proveedores tienen claras sus responsabilidades a la hora de notificarle todos los incumplimientos potenciales y confirmados por su parte.

¿Sigue abrumado? ¡Que no cunda el pánico! Aún está a tiempo de tener su programa GDPR bajo control. ¿Por qué no organiza  para hablar con nuestros expertos del sector y descubrir las ventajas que nuestro nuevo producto ‘MetaPrivacy’ le proporcionará cuando prepare a su organización para el cumplimiento del GDPR. También disponemos de  dos cursos de eLearning sobre el GDPR disponibles para educar a nuestro personal y ayudar a su campaña de concienciación sobre el GDPR.