Los grandes cambios legislativos siempre traen consigo confusiones y temores. Con la llegada del nuevo Reglamento General de Protección de Datos (RGPD) impulsado por la Unión Europea, no ha sido diferente. Aún hoy, hay compañías que no cumplen esta regulación. Para ayudar a las empresas a evitar las posibles sanciones de la Agencia Española de Protección de Datos (AEPD), órgano encargado del cumplimiento de dichas leyes, hemos identificado los seis escenarios que pueden poner potencialmente a una organización bajo el “radar” de la Agencia y originar posibles sanciones para tu empresa.
Una de las novedades que introduce el Reglamento es el Registro de actividades de tratamiento. Ya no se registran ante la AEPD, los conocidos ‘ficheros’ en el Registro General de Protección de Datos. Ahora, son las empresas y sus responsables quienes deben organizar su propio registro cumpliendo las especificaciones indicadas en el artículo 30 del Reglamento.
Entonces, ¿pierde la AEPD control sobre el tratamiento que se le da a los datos? ¿Quedan desprotegidos los datos más sensibles? La respuesta es no. Aquellas empresas que pueden considerarse ‘especiales’ debido a la confidencialidad de los datos que tratan, a su negocio, a su ámbito de trabajo, a determinados tratamientos, etc., pasarán obligatoriamente por inspecciones aleatorias. Lo que significa que estas empresas deberán estar en todo momento preparadas para pasar las correspondientes auditorías externas de protección de datos.
Otra de las formas en las que la AEPD puede poner el foco sobre tu empresa es a través de la denuncia de un interesado, ya sea del propio afectado o un ciudadano que potencialmente pueda verse afectado por un determinado tratamiento.
Por esta razón es importante no solo respetar el Reglamento General de Protección de Datos internamente sino hacer sentir a tus grupos de interés tu compromiso por adaptarte a la legalidad vigente en esta materia. Para ello asegúrate de que cualquier comunicación que realices hacia estos grupos cumple los requisitos necesarios (avisos legales, políticas de privacidad, etc.).
En un mundo globalizado y digitalizado, hay numerosas empresas que están presentes en otros países y desarrollan sus actividades comerciales en mercados extranjeros. Al mismo tiempo, estas compañías contratan herramientas y servicios en la nube a empresas cuyos servidores pueden estar alojados fuera de la Unión Europea.
Por eso, los datos no solo deben protegerse cuando están dentro de nuestras fronteras sino también, cuando salen de ellas: uno de los objetivos del nuevo Reglamento General de Protección de Datos. En este sentido, toda empresa está obligada a comunicar todas las salidas de datos que se produzcan hacia fuera de las fronteras europeas. Las transferencias internacionales de datos realizadas por tu empresa en el desarrollo de tu negocio son otro aspecto que te situará en el punto de mira de la AEPD.
En un mercado con creciente competencia, donde los clientes no son ilimitados, las empresas no solo se preocupan por su propio cumplimiento de la legalidad vigente, sino que se aseguran de que su competencia también lo haga. Por eso, existe un grupo de interesados que también puede, amablemente, invitar a la AEPD a hacerte una visita. Un dato divertido: nunca sabrás quién ha puesto a la Agencia tras tu pista.
Las Evaluaciones de Impacto en la Protección de Datos Personales (EIPD), más conocidas como PIAs, por sus siglas en inglés (Privacy Impact Assessments) deben realizarse cuando los niveles de riesgo son elevados. Ayudan a las empresas a afrontar una gestión más eficaz de los riesgos identificados en estos análisis. Una vez identificados los riesgos, es más fácil diseñar y adoptar las medidas necesarias para eliminarlos o mitigarlos.
Aquellos casos en los que los riesgos identificados no son asumibles por la empresa, es decir, cuando se ven incapaces de resolverlos, se deberá activar un proceso de consultas a la Agencia poniendo estos riesgos en su conocimiento. La AEPD, tras analizarlos, dispondrá la autorización o no para el tratamiento.
La última y más grave vía por la que tu empresa será objetivo de la AEPD es como consecuencia de la comunicación de una brecha de seguridad. Toda empresa está obligada a comunicar a la Agencia cualquier brecha de seguridad. Comunicar una brecha de seguridad en tu organización, no es baladí. Trae consigo numerosas complicaciones para las que se debe estar preparado previamente.
Una brecha debe ser comunicada a la Agencia en un plazo máximo de 72 horas y en caso de que los datos personales de algunos ciudadanos se hayan visto comprometidos, los interesados deben ser notificados.
Además la Agencia comenzará una auditoría y tu empresa deberá ser capaz de demostrar que había tomado todas las medidas de seguridad necesarias para evitar dicha brecha.
La AEPD está obligada a hacer pública cualquier brecha de seguridad que le sea comunicada, lo que puede suponer una pérdida de reputación para la empresa
La AEPD está obligada a hacer pública cualquier brecha de seguridad que le sea comunicada. Esto supone una gran crisis para la empresa que verá afectada su reputación, además de tener que asumir unas multas para las que seguramente no estuviera preparada. La pérdida de reputación, las sanciones que deberás asumir, los recursos que necesitarás destinar para solventar esta crisis y atender las demandas de la investigación de la Agencia supondrá un coste de oportunidad demasiado alto para tu negocio.
¿Y cómo sabemos cuándo una incidencia de seguridad escala a ‘brecha de seguridad’? Existen una serie de mecanismos que permiten averiguar si es brecha o no, pero en términos generales puede ser considerada como tal cuando la privacidad de algún dato personal se haya visto comprometida. Es entonces cuando saltan las alarmas y comenzamos a correr despavoridos en todas direcciones en busca de la salida de emergencia más próxima. Pero ¿por qué no ahorrarnos esta mala pasada preparándonos previamente para cumplir la normativa, poder demostrarlo y gestionar la crisis de forma ordenada, sin poner en peligro la reputación de nuestra empresa?
Actualmente el número de consultores que poseen los procesos y herramientas necesarios para dar solución a estos escenarios es muy reducido. Y es aún menor si necesitamos que las adapten a nuestra idiosincrasia particular. Pero lo que está claro es que gracias a ellos estarás preparado para hacer frente a cualquier crisis e incluso para evitar sanciones y una posible auditoría de la Agencia. No dudes en garantizar a tu empresa la mejor adaptación posible al Reglamento General de Protección de Datos.