La información a la que están expuestas las organizaciones desde hace un par de años en torno a la necesidad del cumplimiento del nuevo Reglamento General de Protección de Datos, que entra en vigor el próximo 25 de mayo, es inmensa y, en ocasiones, confusa. Este hecho ha provocado que se generen dudas entre los responsables de salvaguardar los datos personales de los ciudadanos de la Unión Europea y muchos bulos sobre las posibles consecuencias que puede acarrear un error en el cumplimiento.
“En el mercado, actualmente, se pueden encontrar empresas que realizan auditorías GDPR sin ningún tipo de formación legal ni certificaciones, por lo que las empresas asesoradas pueden estar perdiendo dinero y enfrentándose a multas importantes”, afirma Manuel Jiménez Iturbide, gerente desarrollo de negocio de Unisys España.
Precisamente para aclarar las dudas más importantes de la inmensa mayoría de las organizaciones españolas, Unisys ha recopilado los nueve bulos que más ha escuchado en los últimos meses en diferentes foros en los que se ha tratado la nueva legislación:
Índice de temas
1. “Me pueden multar desde 300.000€ a un 4% de facturación con un máximo de 20.000.000 €, es lo peor de GDPR”.
Sólo aquellas organizaciones que no cumplan el reglamento o no notifiquen sobre el robo o perdidas de datos que involucren a los derechos y libertades de las personas serán sancionadas. Sin embargo, sí es importante tener en cuenta que habrá más advertencias, reproches públicos y peticiones de correcciones que harán que la imagen corporativa pueda ser dañada hacia sus clientes y provocar una merma mayor en el negocio de la empresa.
2. “GDPR sólo tiene que ver con los datos digitales”.
GDPR involucra a toda la empresa, no solo al departamento de tecnología: afecta desde cómo y dónde apuntamos las personas que pasan por recepción hasta los procesos por los que recorre la información en nuestra empresa, incluso, los papeles que se dejan encima de las mesas.
GDPR involucra a toda la empresa, no solo al departamento de tecnología
3. “Los datos personales que tenemos en nuestros sistemas antes del 25 de mayo no tenemos por qué tratarlos”.
Toda la información que tenga la organización en su poder sobre datos personales, sea histórica o nueva, debe alinearse con los preceptos de la nueva norma. Los únicos datos que no se verán afectados son los relacionados con fallecidos, ya que en ese caso la regulación GDPR no aplicará. No hay que olvidar los consentimientos informados que se deben adquirir, de no tenerlos aún, de forma fehaciente.
4. “Mis servicios me los proporciona terceras empresas en cloud: que cumplan ellos”.
Cualquier dato al que acceda una persona de la organización, ya sea para visualizarlo, manipularlo, tratarlo o modificarlo es susceptible de verse afectado por el GDPR aunque es importante asegurarse de que el proveedor de cloud cumpla con la norma.
5. “Como DPO…, como soy Pyme, pondré a mi hijo, a mi hija o al cuñado y resuelto”.
GDPR no fija la capacitación mínima para desempeñar la función de DPO, pero deja en mano de la empresa que dicho nombramiento se realice teniendo en cuenta que se está seguro de la capacitación del mismo, por lo que se recomienda contar con un DPO certificado o subcontratarlo como servicio.
Se recomienda contar con un DPO certificado o subcontratarlo como servicio
6. “GDPR sólo es un problema europeo”.
Cualquier organización que trabaje con datos de los ciudadanos europeos debe cumplir con la reglamentación, sea o no miembro de la Unión Europea.
7. “No pasa nada porque quede menos de un mes: esto es rápido de implantar”.
GDPR es un cambio de filosofía: afecta a cómo conseguir los datos, procesarlos, almacenarlos e incluso a quién puede acceder a ellos, sin importar el soporte en el que se encuentren almacenados dichos datos, por lo que afecta también culturalmente a la empresa y cuanto antes se empiece, antes se comprenderá el alcance.
8. “Yo ya he contratado una auditoria de GDPR y me han entregado el certificado de que mi empresa cumple”.
No existe un certificado de cumplimiento de GDPR. El enfoque de evaluar una empresa se corresponde al anterior marco legal. El GDPR exige analizar tratamiento a tratamiento y cada propósito del tratamiento. Muchas empresas se han planteado una estrategia incorrecta intentando adaptarse desde la anterior norma, lo cual presupone un alto riesgo de incumplimiento.
9. “Ya he renovado todos los consentimientos de mis trabajadores, clientes y proveedores”.
Muchas empresas han realizado un esfuerzo en renovar los consentimientos y esto es un grave error que puede ocasionar serios problemas de gestión y hasta incumplimientos del GDPR ya que, en muchos casos, basar el tratamiento en el consentimiento del interesado es, en sí mismo, un incumplimiento del GDPR.
Muchas empresas han realizado un esfuerzo en renovar los consentimientos y esto es un grave error
“Cumplir el GDPR requiere tener conciencia de la importancia de la protección de datos y un conocimiento experto. La organizaciones deben de asumir un plan estratégico de sensibilización y formación del personal, ya que la simple elaboración de un Plan de Evaluación de Impacto lo único que puede llegar a acreditar es el incumplimiento del GDPR”, asegura Florencio, CEO de ANF AC.
Con el objetivo de ayudar a las organizaciones que aún tienen que adaptarse para cumplir el GDPR, Unisys, junto a Avasant, Papyrum y Hopla Software, ha creado un porfolio homologado por ANF Autoridad Certificadora, primera entidad certificadora GDPR europea.