Ahora que el RGPD lleva más de un año en vigor, aquellos que esperábamos que el Brexit eliminara la necesidad de cumplir con el RGPD de la UE nos hemos llevado una decepción. Pero, un año después, ¿hasta qué punto se están tomando en serio las organizaciones este tema?
Como muchos de nosotros, es posible que usted siga recibiendo llamadas no solicitadas de organizaciones que intentan venderle su último producto o que quieren que cambie su contrato de su proveedor actual. ¿Están infringiendo el RGPD?
Si, como yo, intentas adoptar una postura firme y preguntas: «¿Quién eres? ¿Dónde has encontrado mis datos de contacto? ¿Sabes que estás infringiendo el Reglamento General de Protección de Datos?», ¡ten cuidado con las explicaciones plausibles!
Recientemente recibí una llamada no solicitada de un proveedor de servicios de telefonía móvil que quería que me cambiara a su último producto 5G superrápido. ¿Cómo obtuvieron mis datos y han infringido la normativa del RGPD?
La respuesta es no. Resulta que me registré en una red Wi-Fi gratuita en una estación de servicio de la autopista y marqué la casilla para aceptar sus términos y condiciones, y entre las cientos de páginas de términos y condiciones se encontraba una cláusula en la que aceptaba que el proveedor de Wi-Fi tuviera mi permiso para transmitir mis datos personales a «terceros relevantes».
¿Deberíamos preocuparnos por el RGPD?
Entonces, con lagunas jurídicas como esta, ¿cuántas organizaciones han sido multadas por infringir el RGPD desde que entró en vigor la ley? ¿Debemos preocuparnos por el RGPD?
Después de todo, los equipos de gobierno corporativo de toda Europa, desde las empresas más grandes hasta las organizaciones benéficas más pequeñas, han dedicado meses a prepararse para el RGPD y garantizar su cumplimiento. La respuesta es sí: ahora se están imponiendo multas en toda Europa, desde Portugal hasta Alemania.
Recordemos los antecedentes de la legislación y lo que realmente significa. La ley tiene por objeto consolidar las leyes de protección de datos en toda Europa, proteger la privacidad de los ciudadanos de la UE y sancionar a las organizaciones que permitan una violación de la privacidad de los datos. Es necesario contar con el permiso expreso de las personas si se pretende conservar sus datos, o bien demostrar un interés legítimo para conservar dichos datos personales. En caso de violación de datos, las multas que se pueden imponer son potencialmente enormes. Las sanciones pueden alcanzar los 10 millones de libras esterlinas o el 2 % de los ingresos anuales para las empresas más pequeñas, y hasta 20 millones de libras esterlinas o el 4 % de los ingresos anuales para las empresas más grandes.
Entonces, ¿cómo se puede mitigar el riesgo de infringir la legislación del RGPD?
Los pasos para evitar sanciones
La respuesta obvia es asegurarse de que su personal sea consciente de su responsabilidad de proteger los datos de sus clientes, como punto de partida. A continuación, tiene la poco envidiable tarea de garantizar que sus sistemas sean lo más seguros posible frente a los piratas informáticos y, por lo tanto, frente a las violaciones de datos.
Cuando se trata de mitigar las sanciones por incumplimientos del RGPD, asegúrese de que el personal haya aceptado todas las políticas y procedimientos pertinentes, desde la política del RGPD hasta la política de seguridad de la información, y todo lo demás. Ser capaz de demostrar que cuenta con políticas establecidas y, lo que es más importante, poder demostrar que el personal ha aceptado sus políticas, le garantiza la mejor defensa posible en caso de que la ICO le llame a declarar.
Una forma de garantizar que se cumpla lo anterior es implementar un solución de software para la gestión de políticas para almacenar todas sus políticas internas, procedimientos, instrucciones de trabajo, material de formación, etc. Garantiza el control total de las versiones de sus políticas, las publica para que las vea su personal y proporciona pruebas de que han sido recibidas, leídas y comprendidas. Las ventajas en términos de cumplimiento pueden ser enormes, y ayudarán a garantizar que las posibles sanciones del RGPD se conviertan en ficción, ¡y no en realidad!
Otros recursos sobre riesgos y cumplimiento normativo que pueden resultar útiles:
-
Guía del experto: Las 7 señas de identidad de un cumplimiento eficaz
-
Blog Post: Cómo ayuda la tecnología a crear un programa de cumplimiento eficaz
-
Infografía: GRC Hurdles & High Jumps in Building a Culture of Compliance (Obstáculos y grandes saltos de GRC en la creación de una cultura de cumplimiento)
