Desde el 25 de mayo de 2018, todas las empresas y organizaciones deben aplicar el Reglamento General de Protección de Datos (RGPD). En caso contrario, las sanciones pueden alcanzar los 20 millones de euros o el 4% de la facturación anual de las grandes compañías. Un “agujero” millonario en las cuentas al que se sumaría el daño en la reputación y el deterioro de la confianza depositada por los clientes.
Por ello, el cumplimiento de la privacidad es uno de los principales quebraderos de cabeza en la actualidad. Sobre todo, a la vista de los problemas que sufren muchas empresas por desconocer dónde tienen los datos, qué datos tratan y qué hacen con ellos.
Ksenija Rohrkamp, CRO de Pridatect, explica que otra dificultad es la continua implementación de medidas requeridas en el programa de protección de datos, que si bien tienen muchas compañías, algunas no lo terminan de poner en marcha.
También resulta complicado estar al día con los crecientes requisitos de cumplimiento normativo y los cambios internos y externos de tratamiento de datos que se suceden en las empresas. Por no hablar de las empresas que se encuentren en proceso de due diligence (auditoría elaborada por consultores externos), las cuales pueden perder una ronda de financiación en el caso de no cumplir con la protección de datos.
Requisito para los clientes
Independientemente de la fase y el momento que atraviese una compañía, potenciales clientes podrían preguntar sobre la protección de datos y las medidas para garantizar que la información recopilada sobre ellos se está tratando adecuadamente.
Porque a la hora de elegir proveedores, las empresas buscan marcas de confianza que cumplan con la ley. Por ello siempre es conveniente estar en condiciones de acreditar y garantizar ante los clientes la adaptación y el cumplimiento de la norma.
En este sentido, cabe destacar que la implementación y actualización de un programa de protección de datos es una tarea que no se realiza de la noche a la mañana.
En paralelo, el reglamento se basa en el principio de responsabilidad proactiva, lo que significa que es la propia empresa la que debe decidir qué medidas de seguridad pone en marcha para blindar los datos y la privacidad.
Preguntas frecuentes sobre la normativa de privacidad
La normativa exige que no se recopilen datos por recopilar, y que solo se traten los datos personales mínimos y necesarios para el logro de los fines legítimos de la empresa. De ahí que las compañías deban analizar de qué medidas -tanto técnicas como organizativas- disponen, para evitar poner en riego los derechos y libertades de las personas titulares de los datos.
Una de las preguntas más frecuentes que podría hacerse una empresa es sobre el uso de las bases de datos para enviar publicidad, promociones… Y hay que tener cuidado, porque el reglamento exige que quien vaya a recibir esa publicidad o promociones haya dado su consentimiento expreso, por lo que habría que revisar todas las cláusulas de información.
Las compañías también podrían preguntarse por la obligación de registrar los ficheros ante la Agencia Española de Protección de Datos (AEPD). Y aunque ya no sea obligatorio, hay que hacer un Registro de Actividades de Tratamiento, en aras de documentar quién es el responsable de los datos e inventariar el tipo de datos, cómo se tratan y protegen.
Estos registros son obligatorios para empresas que superen los 250 trabajadores o traten categorías especiales de datos -relacionados con la salud, la ideología…). Para compañías más pequeñas no lo son, pese a que resultan muy recomendables, puesto que sirven para demostrar que se cumple con el reglamento, por lo que convendría tenerlo a disposición de la Agencia Española de Protección de Datos.
Claves para cumplir el RGPD
Ahora bien, ¿cómo pueden las empresas simplificar el cumplimiento de su privacidad?
Rohrkamp revela que algunas soluciones tecnológicas ayudan, por ejemplo, con el paso inicial de mapear los datos que se manejan y confeccionar un registro completo de las actividades de tratamiento de una empresa.
“Esas soluciones pueden contribuir a reducir el tiempo y conocimiento necesarios para implementar correctamente un programa de protección de datos y estar al día con los requerimientos normativos”.
Además, añade que un punto muy importante es la sensibilización de los empleados y la creación de una cultura interna de protección de datos que cale en toda la plantilla.
Para esto, Rohrkamp ve muy útil impartir formaciones específicas y prácticas relacionadas con el trabajo del día a día que hace cada empleado en su área.
Y es que, en su opinión, un programa de protección de datos tiene sentido si finalmente se implementa correctamente y si todos los que tratan con datos en la empresa lo ponen en práctica y velan por él.
Pymes y grandes empresas
Cualquier compañía que maneje datos de carácter personal (ya sean de sus empleados, de sus clientes, de sus proveedores…) ha de cumplir el RGPD, aunque sea una empresa muy pequeña con pocos trabajadores o sin relación con consumidores finales.
Así, dado que las pymes no tienen ni el conocimiento ni los recursos internos que pueden llegar a tener las grandes empresas, “es importante que el cumplimiento de la privacidad sea sencillo, para que se pueda implementar de forma correcta y eficaz”.
De lo contrario, la CRO de Pridatect advierte de que si se ve como una tarea demasiado compleja y que puede llevar mucho tiempo, terminará por no hacerse o realizarse de mala manera.
Asimismo, las grandes empresas cuentan con un equipo de compliance management dedicado al cumplimiento normativo con profesionales expertos en su campo. Sin embargo, las pymes pueden tener un profesional legal, pero que no cubra todos los campos requeridos o no disponga del tiempo suficiente para realizar todas las labores.
Pridatect, una solución para la protección de datos
En este escenario, Pridatect es una solución de protección de datos para pequeñas y medianas empresas que simplifica el cumplimiento normativo.
La compañía opera tanto en España como en mercados internacionales como Alemania o Reino unido, adaptándose así a las leyes específicas de cumplimiento normativo de cada país.
“Trabajamos con la combinación de una plataforma y un account manager dedicado a identificar riesgos, implementar medidas necesarias y monitorizar y notificar cuando las empresas deben entrar en acción”.
Rohrkamp remarca que la misión de Pridatect pasa por hacer que la protección de datos sea posible en todas las empresas del mundo. Para eso, “hemos creado una solución única de cumplimiento normativo. Así cada compañía puede tener un programa de protección de datos avanzado y completo, sin necesidad de conocimiento previo o un equipo de cumplimiento grande”.
La CRO de Pridatect sostiene que las tareas son muy fáciles de entender para aquellos que deben implementarlas, gracias fundamentalmente a la automatización incorporada, que simplifica la mayor parte de los procesos.
En términos de cifras, actualmente la plataforma de Pridatect, mediante colaboradores y clientes directos, ayuda a más de 10.000 empresas con su protección de datos: desde startups en sus primeros meses de creación hasta compañías con más de 1.000 empleados.
Esta startup fue una de las 39 en las que Wayra invirtió un total de 4,5 millones de euros a lo largo de 2020. Y también forma parte del portafolio de Telefónica Tech Ventures.
Imagen de Chris Sansbury en Pixabay