8 de cada 10 empresas españolas disponen de un servicio de asesoramiento en materia de protección de datos o piensa contratarlo a corto plazo, pero sólo un 70% ha implementado el RGPD al 100%. IMF Business School ha elaborado una sencilla guía con 5 pasos clave a seguir para comprobar que cumplen correctamente con la normativa. ¿Su intención? Ayudar tanto a las empresas que aún no han empezado (un 40%) como a las que están a medio camino
El pasado 25 de mayo marcó un antes y un después en el calendario de las empresas españolas con la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Pero, según una encuesta de Talend -empresa especializada en integración de datos en la nube-, cuatro meses después sólo 3 de cada 10 compañías lo han conseguido implementar completamente en nuestro país, por lo que urge ayudarlas a terminar el proceso. Y eso que el 80% ya dispone de un servicio de asesoramiento en esta materia o piensa contratarlo a corto plazo, de acuerdo con un estudio de la Agencia Española de Protección de Datos (AEPD) y Cepyme.
Por si todavía hay alguien que no esté enterado, el incumplimiento del RGPD puede acarrear sanciones económicas de hasta 20 millones de euros o el equivalente al 4% del volumen de negocio anual, imponiéndose siempre la de mayor cuantía.
Para Carlos Martínez, presidente de IMF Business School, “las empresas deberían ver el RGPD como una oportunidad para replantear el modo en el que gestionan la protección de datos, tanto ahora como en el futuro. Este nuevo reglamento requiere una atención y control constantes, además de una respuesta rápida en caso de que se produzca una brecha de seguridad. Es un hecho, la demanda de especialistas en datos y ciberseguridad no dejará de crecer en los próximos años. Por ese motivo, desde la escuela estamos trabajando en esta línea con una oferta formativa de nivel de la mano de profesionales del sector, como nuestros Máster en Big Data y Business Analytics y Máster en Ciberseguridad”.
5 claves para comprobar si se cumple, y se cumple bien, con la RGPD
Con el fin de acelerar la implementación de este nuevo reglamento en nuestro país, donde según la AEPD todavía existe un 40% de empresas que desconocen qué cambios deben realizar para ponerse al día en esta materia, IMF Business School ha elaborado una guía con 5 pasos clave que ayudarán a todas las compañías, sea cual sea su nivel de adaptación a la normativa, a comprobar que lo cumplan de forma correcta con el RGPD:
Almacenamiento de datos sí, pero no sin informar. Cuando se trata de información relativa a una persona física identificada o identificable, el nuevo reglamento obliga a informar tanto a los propios usuarios como a la AEPD, de que se están recopilando dicha información y cuál será el fin de ésta. Un error común es desconocer el tipo de datos que la propia empresa conserva, provocando que muchas de ellas no presten la suficiente atención al asunto. Por eso, el mejor punto de partida es saber si la empresa almacena ese tipo de datos o no y en caso afirmativo, informar de ello a los interesados.
Análisis de riesgo y evaluación de impacto. Desde su entrada en vigor, un programa tradicional no es suficiente. En el caso de empresas que trabajen con datos especialmente sensibles deberán llevar a cabo un análisis de riesgos, así como una evaluación de impacto con los posibles peligros y las medidas de seguridad adecuadas según su nivel previas a cualquier brecha de seguridad.
Consentimiento expreso. Una de las principales novedades es el cambio en la obtención del consentimiento. Ya no sirve la marcación de casillas, son necesarios al menos integrar botones de “acepto”. Además, el consentimiento debe ser libre, específico e inequívoco. A partir de ahora no serán válidas las extensas políticas de privacidad ilegibles y llenas de terminología legal. Adiós a la odiosa letra pequeña.
Nuevos derechos. El nuevo reglamento contempla novedades en relación con los derechos de los usuarios, como los de portabilidad o el derecho al olvido, por los que las empresas deben velar.
Brechas de seguridad. Si hay una vulneración de la seguridad de la empresa en la que se ven en peligro los derechos y datos de los usuarios, la empresa se ve obligada a comunicar la incidencia tanto a la Agencia Española de Protección de Datos como a los afectados. Para que se produzca una violación de seguridad no es necesario que se trate de un ataque cibernético, sino un simple envío accidental de de correos por email, compartir una contraseña personal por error etc. La notificación debe hacerse en el plazo máximo de 72 horas desde que se conoce la incidencia.