La mayoría de los que operamos en empresas que procesan datos personales ya estamos al tanto de la bomba que es el "GDPR". Este esperado reglamento de protección de datos entrará en vigor en apenas doce meses, el 25 de mayo de 2018. Para muchas organizaciones, hay una gran pregunta sobre la mejor manera de comenzar una campaña de preparación para el GDPR y en qué áreas clave centrarse. Puede parecer una tarea desalentadora si se tiene en cuenta que las consecuencias de no cumplir los requisitos son muy graves: multas de hasta 20 millones de euros o el 4 % de la facturación anual global.
Pero, ¡no tema! Hemos creado una guía rápida que contiene los cinco principales retos a los que se enfrentan muchas empresas al iniciar una campaña del GDPR, junto con consejos sobre la mejor manera de superarlos.
1. Concienciación sobre el RGPD en toda la organización
Nuestro consejo: Consiga que los actores clave se unan y construya un plan de concienciación.
Como dice el viejo refrán: Si no te preparas, te preparas para fracasar. Asegúrese de que los responsables de la toma de decisiones y las principales partes interesadas de su organización sean conscientes de que la ley está cambiando y garantice la participación de los altos cargos. Le resultará muy beneficioso contar con un patrocinador ejecutivo cuyo trabajo será defender la campaña y garantizar que se desarrolle sin problemas.
Para poner en marcha su proyecto sobre el RGPD, le recomendamos que empiece por consultar el registro de riesgos de su organización, si lo tiene. Si no lo tiene, será una herramienta útil para recopilar cuando comience su viaje hacia el GDPR.
Recuerde que el tiempo es esencial. Empiece lo antes posible para evitar el pánico de última hora y aproveche el año siguiente para concienciar sobre los cambios que se avecinan. Nuestro curso de aprendizaje electrónico sobre el RGPD es un buen punto de partida para concienciar a sus empleados.
2. Evaluar los métodos actuales de tratamiento de datos y ajustarlos para cumplir las expectativas del RGPD.
Nuestro consejo: Empiece por identificar y anotar qué datos personales tiene, de dónde proceden y con quién los comparte. Asimismo, documente cualquier medida de cumplimiento que ya esté en vigor.
Le recomendamos que realice una auditoría de la información. Por ejemplo, si tiene datos personales inexactos y los ha compartido con otra organización, tendrá que informar a la otra organización para que pueda modificar sus propios registros. Por lo tanto, es fundamental saber qué información tiene y para qué la utiliza. También es importante hacer un seguimiento de los cambios que realice en las actividades de tratamiento de datos para cumplir con el RGPD. Esto le ayudará a demostrar el cumplimiento del principio de responsabilidad del RGPD.
3. Nombrar a un responsable de la protección de datos
Nuestro consejo: Determine si el nombramiento de un DPO es un requisito obligatorio o deseable para su organización. Lo ideal sería identificar a alguien que se responsabilice del cumplimiento de la protección de datos, ya que el riesgo de una infracción en virtud del RGPD conlleva una multa muy elevada.
Entre las organizaciones que necesitarán nombrar a un RPD se encuentran las autoridades públicas y aquellas cuyas actividades implican el control regular y sistemático de los interesados a gran escala. Es importante asegurarse de que alguien de su organización, o un asesor externo en materia de protección de datos, asuma la plena responsabilidad del cumplimiento de la protección de datos. Entre las cualidades clave necesarias para desempeñar esta función se encuentran tener los conocimientos, el apoyo y la autoridad necesarios para gestionar la protección de datos de forma eficaz.
También es aconsejable establecer un marco de comunicación tan pronto como haya nombrado a su DPO. Este marco debe identificar quién reportará a quién y dónde se ubicará esta función dentro de la estructura de su organización para evitar cualquier confusión.
4. Aplicación de nuevos métodos de tratamiento de datos
Nuestro consejo: Documente y aplique nuevas políticas y procedimientos de cumplimiento y forme a su equipo de tratamiento de datos de acuerdo con estas nuevas medidas. Revise todos los contratos y consentimientos existentes y actualícelos de acuerdo con el RGPD.
Estos deben considerar los cambios clave, incluyendo la información sobre la privacidad, la mejora de los derechos individuales y las solicitudes de acceso de los sujetos, así como el consentimiento.
Revise sus avisos de privacidad actuales y cree un plan para realizar los cambios necesarios a tiempo para la aplicación del GDPR.
Compruebe sus procedimientos para asegurarse de que cubren todos los nuevos derechos mejorados que tienen las personas en virtud del RGPD, incluyendo cómo borraría los datos personales o proporcionaría los datos electrónicamente y en un formato de uso común.
Actualice sus procedimientos y planifique cómo va a gestionar las solicitudes de acceso de los sujetos dentro del nuevo plazo de un mes.
Revise cómo está buscando, obteniendo y registrando el consentimiento y si necesita hacer algún cambio. Recuerde documentar todos los cambios realizados. Además, tenga en cuenta que el RGPD también cambiará la forma de tratar los datos personales de los niños. Es aconsejable que empiece a pensar ahora en los sistemas que puede poner en marcha para verificar la edad de las personas y recabar el consentimiento de los padres o tutores para la actividad de tratamiento de datos.
5. Identificar y comprender cómo hacer frente a una violación de datos
Nuestro consejo: Establezca procedimientos claros de notificación de violaciones de datos que le permitan detectar y notificar la violación en el nuevo plazo de 72 horas.
Cree un registro interno de violaciones de datos para registrar y seguir la investigación de cualquier violación que se produzca. También es importante evaluar los datos que tiene y que requerirán una notificación en caso de que se produzca una infracción.
Asegúrese de que sus socios y proveedores tienen claras sus responsabilidades a la hora de notificarle todos los incumplimientos potenciales y confirmados por su parte.
¿Todavía abrumado? Que no cunda el pánico. Todavía está a tiempo de tener su programa de GDPR bajo control. Por qué no concertar una cita para hablar con nuestros expertos del sector y descubrir las ventajas que nuestro nuevo producto "MetaPrivacy " le proporcionará a la hora de preparar su organización para el cumplimiento del GDPR. También disponemos de dos cursos de eLearning sobre el GDPR para formar a nuestro personal y ayudar a su campaña de concienciación sobre el GDPR.
