Global Voices: ¿Multas o ficción del GDPR?
Ahora que el RGPD tiene más de un año, los que esperábamos que el Brexit anulara la necesidad de cumplir el RGPD de la UE nos hemos llevado una decepción. Pero un año después, ¿hasta qué punto se toman en serio las organizaciones este tema?
Como muchos de nosotros, es posible que siga recibiendo llamadas no solicitadas de organizaciones que intentan venderle su último producto o que quieren que migre su contrato desde su proveedor actual. ¿Están infringiendo el GDPR?
Si, como yo, intentas adoptar una postura dura, preguntando: ¿quién eres? ¿Dónde has encontrado mis datos de contacto? ¿Y sabe que está incumpliendo la normativa GDPR? ¡Cuidado con escuchar una explicación plausible!
Hace poco recibí una llamada no solicitada de un proveedor de tiempo de emisión que quería que me cambiara a su último producto 5G superrápido: ¿cómo consiguieron mis datos e incumplieron la normativa GDPR?
La respuesta es no. Resulta que me suscribí a una conexión Wi-Fi gratuita en una estación de servicio de una autopista y marqué la casilla para aceptar sus términos y condiciones, y enterrado en los cientos de páginas de términos y condiciones había una aceptación de que el proveedor de Wi-Fi tenía mi permiso para pasar mis datos personales a "terceros pertinentes".
¿Deberíamos preocuparnos por el GDPR?
Así que, con lagunas como esta, ¿cuántas organizaciones han sido multadas por incumplir el GDPR desde que la ley entró en vigor, y tenemos que estar preocupados por el GDPR en absoluto?
Al fin y al cabo, los equipos de gobierno corporativo de toda Europa, desde las mayores empresas hasta las organizaciones benéficas más pequeñas, llevan meses preparándose para el RGPD y garantizando su cumplimiento. La respuesta es sí: ya se están imponiendo multas en toda Europa, desde Portugal hasta Alemania.
Recordemos los antecedentes de la legislación y lo que realmente significa. La Ley pretende consolidar la legislación sobre privacidad de datos en toda Europa, proteger la intimidad de los ciudadanos de la UE y sancionar a las organizaciones que permitan una violación de la privacidad de los datos. Para conservar los datos personales de una persona es necesario obtener su autorización o demostrar un interés legítimo. En caso de violación de los datos, las multas que pueden imponerse son potencialmente enormes. Las sanciones pueden alcanzar los 10 millones de libras o el 2% de los ingresos anuales en el caso de las empresas más pequeñas, y hasta 20 millones de libras o el 4% de los ingresos anuales en el caso de las empresas más grandes.
Entonces, ¿cómo puede evitar caer en la infracción de la legislación GDPR?
Los pasos para prevenir las sanciones
La respuesta obvia es asegurarse de que su personal es consciente de su responsabilidad en la protección de los datos de sus clientes, como punto de partida. A partir de ahí, tendrá la nada envidiable tarea de garantizar que sus sistemas estén lo más protegidos posible frente a los piratas informáticos y, por tanto, frente a las violaciones de datos.
Cuando se trata de mitigar las sanciones por infracciones del GDPR, asegúrese de que el personal ha firmado todas las políticas y procedimientos pertinentes, desde la política GDPR hasta la política InfoSec, y todo lo demás. Ser capaz de demostrar que dispone de políticas y, lo que es más importante, ser capaz de demostrar que el personal ha suscrito sus políticas, le garantiza la mejor defensa posible en caso de que la ICO le llame.
Una forma de garantizar que se cumpla lo anterior es implantar un solución informática de gestión de políticas para guardar todas sus políticas internas, procedimientos, instrucciones de trabajo, material de formación, etc. Garantizar el control total de la versión de sus políticas, publicarlas para su personal y proporcionar pruebas de que han sido recibidas, leídas y comprendidas. Los beneficios en términos de cumplimiento pueden ser enormes y ayudarán a garantizar que las posibles sanciones del GDPR se conviertan en ficción y no en un hecho.
Otros recursos sobre riesgos y cumplimiento que pueden ser útiles:
-
Guía del experto: Las 7 señas de identidad de un cumplimiento eficaz
-
Blog Post: Cómo ayuda la tecnología a crear un programa de cumplimiento eficaz
-
Infografía: GRC Hurdles & High Jumps in Building a Culture of Compliance (Obstáculos y grandes saltos de GRC en la creación de una cultura de cumplimiento)