El próximo año el alojamiento de información relativo a la protección de las personas físicas en Europa, estará sometido a una nueva legislación, más estricta en materia de seguridad y protección de datos, de obligada aplicación en los 28 estados miembros de la UE. El nuevo Reglamento (UE) 2016/679 (GDPR, en siglas en inglés) fue aprobado el año pasado y deberá ser respetado por todas las empresas que operen en cualquiera de sus mercados, independientemente de su procedencia, a partir del 25 de mayo de 2018.
La entrada en vigor de la nueva norma ha acelerado los plazos de las empresas con actividad en la Unión Europea e incluso ha provocado que muchos proveedores de servicios web (aún con sede en EEUU) entren en una carrera contrarreloj que les permita garantizar que cumplen todos los requisitos normativos. El RGPD prevé en su artículo 82.4.a que el incumplimiento de las obligaciones de los registros de tratamiento lleva aparejadas multas de hasta 10.000.000€ o el 2% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la mayor cuantía.
A partir del próximo mes de mayo, la seguridad de los datos debe extenderse a todas las fases de diseño y producción de diferentes acciones comerciales, hasta el punto que una vulneración de seguridad deberá ser notificada de inmediato a las autoridades, en caso de que supongan pérdida de datos. Además se incorporan cambios en la securización de los datos de perfiles, minimización de datos en su tratamiento y en su plazo, nuevas condiciones en cuanto a consentimiento, portabilidad de la información sensible o la duración del período de almacenamiento. Estos son los aspectos regulados que deberán ser tenidos en cuenta en apenas meses y donde los proveedores de aplicaciones y servicios Cloud estarán especialmente expuestos. Por otra parte, el responsable del tratamiento deberá asegurarse que los datos recogidos son los “adecuados, pertinentes y limitados a lo estrictamente necesario en relación con los fines para los que son tratados”.
Por otra parte habrá que anticiparse ya que ahora, una resolución pública de la AEPD establece que incluir a un usuario a un grupo de whatsapp sin su consentimiento es una “infracción grave” puesto que el número de teléfono es un dato de carácter personal protegido por ley y su inclusión sin autorización vulnera el derecho a la privacidad.
Toda nueva regulación obliga a las organizaciones a cambiar y esto solamente se puede hacer con las suficientes dosis de planificación e inversión. Además, será necesario construir un nuevo ecosistema de tecnologías y servicios que cumplan con los nuevos requerimientos, nuevos perfiles organizativos que supervisen su cumplimiento y procesos de calidad de la seguridad de la información que soporten controles y auditorías futuras.
Grupo Econocom ofrece ese asesoramiento de profesionales y expertos en tecnología, así como en servicios de consultoría necesarios para el diseño de una hoja de ruta que incluya los principales objetivos, hitos, plazos y recursos para un correcto dimensionamiento del proyecto GDPR.
Una visión holística del esfuerzo resulta determinante, aunque otros factores, como nivel de madurez de procesos de la organización o la profunda comprensión de la actividad de la compañía, se convierten en elementos clave que, en la mayoría de los casos, marcarán la diferencia.
Susana Gilabert, Directora Marketing & Comunicación
Esto lo escribiste en 2017. En pleno 2019, ¿qué porcentaje de empresas dirías que está adaptada al GDPR? Porque yo dudo que todas lo estén.