Gestión de la Protección de Datos

La importancia de los datos para las empresas y administraciones públicas radica en que permite hacer un análisis más en profundidad acerca de quiénes son sus principales clientes y cuáles son sus necesidades. Sin embargo, disponer de una gran cantidad de información implica cumplir la normativa vigente, aplicar buenas prácticas que garanticen la seguridad de los datos personales de los clientes, pues son datos sensibles que hay que proteger y utilizarlos únicamente para los fines para los que se recogieron. Aquí entra en juego la gestión de la Protección de Datos. ¿Qué es y por qué es tan importante? ¡Sigue leyendo! A continuación, te contamos todo lo que debes saber.

¿Qué es la gestión de la Protección de Datos?

El Reglamento general de Protección de Datos, que se aplica desde el 25 de mayo de 2018, proporciona a los ciudadanos de la Unión Europea un mayor control sobre sus propios datos personales, mejorando así su seguridad online y fuera de la red. El objetivo de este texto no es otro que proteger la información personal de la ciudadanía de la UE.

Una vez publicada la norma, las empresas han tenido que adecuar sus procesos, ya que, por ejemplo, los datos de los usuarios pueden estar ubicados fuera de la UE, por lo que se requiere cumplir con una serie de requisitos exigidos.

Entonces, ¿qué es la gestión de la Protección de Datos? Este concepto hace referencia al correcto uso de la información personal de los usuarios. Una correcta gestión implica evitar una sanción económica.

¿Por qué es importante la gestión de la Protección de Datos?

Las empresas y los profesionales que trabajan en ellas cuentan con una base de datos con información muy diversa, a la vez que sensible y confidencial, de sus principales clientes o de sus proveedores. Todo este conjunto de información no debe ser utilizada por cualquier persona, es decir, los datos tienen que estar protegidos, y solo las personas autorizadas tendrán acceso a ellos.

Entonces, ¿por qué es importante la gestión de la Protección de Datos? Pues por una serie de razones como las que te vamos a mencionar en las próximas líneas.

• Evita recibir sanciones: una correcta gestión de la Protección de Datos ayuda a eludir multas. Porque, de lo contrario, si en algún momento existe un incumplimiento en la normativa de protección de datos, puede conllevar sanciones económicas de hasta 20 millones de euros.

• Ayuda a mejorar la imagen de la empresa: mantener una correcta gestión de la Protección de Datos contribuye a mejorar la imagen corporativa de la organización y la de los empleados que trabajan en ella.

• Garantiza la calidad del servicio: si tus clientes y/o los posibles potenciales clientes saben que en tu organización los datos están protegidos y se gestionan de manera eficaz, te ayudará a ofrecer garantías de calidad, ya que las personas confían en tu entidad y en servicio que se les brinda.

• Evita una fuga de información: una correcta gestión de los datos puede garantizar que no suceda algo inesperado como la pérdida de información confidencial. Por ello, tal y como indica el INCIBE en su artículo: “¿cómo puedo prevenir la fuga de información dentro de mi organización?”, es necesario tener en cuenta los siguientes aspectos: conocer la información que gestiona la organización, clasificarla según su criticidad, determinar su grado de seguridad y, por último, establecer las medidas necesarias para mejorar su seguridad.

• Permite garantizar los derechos y garantías digitales de la entidad en el ámbito laboral: tal y como se recogen en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

En el ámbito laboral, los derechos digitales toman una serie de relevancia en distintos apartados, tales como:

• Artículo 87. Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral: en lo que respecta a la protección de la intimidad en el uso de los dispositivos digitales por parte de los trabajadores y los empleados públicos. El acceso, por parte del empleador, a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales, respetando, en todo caso, los estándares mínimos de protección de su intimidad, de acuerdo, con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboración deberán participar los representantes de los trabajadores.
• Artículo 88. Derecho a la desconexión digital en el ámbito laboral: respetando la desconexión digital de los trabajadores y los empleados públicos, a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar. Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto a lo acordado entre la empresa y los representantes de los trabajadores.
  
• Artículo 89. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación en el lugar de trabajo: informando, con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida. En ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores a los empleados públicos, tales como vestuarios, aseos, comedores y análogos.
• Artículo 90. Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral: informando, de forma expresa, clara e inequívoca, a los trabajadores o empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos.
  

Gestión de la Protección de Datos: claves principales

Cualquier empresa que trate con datos personales, hoy en día, prácticamente todas o gran cantidad de ellas lo hacen, no debe descuidar en ningún instante la adecuada gestión de la Protección de Datos, ya que una mala práctica en la empresa puede conllevar una cuantiosa sanción económica.

Entonces, para no sufrir ninguna infracción en lo que respecta a la LOPDGDD y al RGPD, es necesario tener en cuenta una serie de consideraciones. ¿Qué aspectos hay que tener en cuenta en la Gestión de la Protección de Datos? Algunos como los que te vamos a mencionar a continuación:

• Destacar los principales datos que hay que recopilar: el responsable de tratamiento tiene que saber qué tipo de información personal tiene que recoger.

• Cuáles son los tratamientos que se van a hacer: estos varían en función de la finalidad que se quiera conseguir con ellos.

• Elaborar el RAT: tal y como destaca la AEPD, “una de las herramientas que el RGPD exige a los responsables para demostrar la conformidad con el RGPD es el mantenimiento de los registros de actividades de tratamientos de datos que tienen bajo su responsabilidad y control”. Además, la AEPD afirma que el “contenido del Registro de Actividades de Tratamiento constituye una información mínima exigible. Este registro podría integrarse y formar parte de los catálogos de procesos que ya existiesen en la entidad, incluyendo toda la información que el responsable considere necesaria para proteger los derechos y libertades de las personas físicas y para poder demostrar cumplimiento atendiendo a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los posibles orígenes de los riesgos que dicho tratamiento pudiera suponer para los interesados.”

• Reconocer riesgos: una vez que se conoce los anteriores aspectos, es necesario identificar los posibles riesgos que pueden surgir. Para ello, será crucial realizar un Análisis de Riesgos, es decir, un Análisis de los Riesgos que un determinado tratamiento puede entrañar para los derechos y libertades de los interesados, con el objetivo y adoptar las medidas necesarias para eliminarlos o mitigarlo

• Elaborar cláusulas informativas: siempre que realices un tratamiento de datos personales, tienes que avisar a los interesados sobre aspectos relevantes a dicho tratamiento, como, por ejemplo, la finalidad, el tiempo que los conservarás y la cesión de los datos de otros, entre otras cosas.

• Contar con un protocolo ante una brecha de seguridad: un incidente de este tipo puede suponer un riesgo para los interesados, ya que sus datos personales pueden verse afectados. Ante esta situación, se cuenta con un plazo de 72 horas, desde que la organización tiene constancia de la brecha, para notificar, en su caso, a la autoridad de control.

• Contar con protocolos para el ejercicio de los derechos de los interesados: Se debe atender a tiempo y forma los derechos de los interesados a través de los protocolos establecidos.

• Firmar contratos de acceso a datos por cuanta de tercero: Aquellos proveedores, a los que les comunicamos datos de terceros (por ejemplo, de trabajadores) se consideran encargados de tratamiento. Se tiene que firmar un contrato de acceso a datos para poder tratar los datos por cuenta de un tercero. Cuando se firma un contrato de encargo de tratamiento es necesario establecer condiciones, estipular los datos a los que podrá tener acceso y qué tendrá que hacer una vez expirado el contrato.

• Realizar auditorías de Protección de Datos: estas auditorías permiten conocer el grado de cumplimiento de la normativa, con el fin de comprobar si las medidas que se han establecido en relación con la Protección de Datos cumplen con los estándares estipulados en el RGPD y en la LOPDGDD.

• Trabajar para mantener el cumplimiento y la gestión del RGPD/LOPDGDD: si se producen cambios significativos en la empresa o si hubiera una modificación en la norma vigente, es necesario tener actualizado el cumplimiento el RGPD/LOPDGDD.

Incorrecta gestión de la Protección de Datos: consecuencias

A nivel empresarial, los datos suponen poseer una información valiosa, pues estos ofrecen la posibilidad de tomar decisiones cruciales para el futuro de cualquier organización. Nunca, hasta la fecha, las compañías han tenido tantos datos de los usuarios. Por esta razón, desde el año 2016, la Unión Europea, aprobó el Reglamento General de Protección de Datos (RGPD), con el objetivo de salvaguardar los datos personales de las personas.

Sin embargo, no todas las compañías cumplen con esta normativa, y esto puede suponer un riesgo que puede contribuir de manera negativa a la identidad y reputación de las mimas, entre otros factores. Entonces, ¿cuáles son las consecuencias de una mala gestión de Protección de Datos? ¡Sigue muy atento! De seguido, te vamos a comentar todas las que debes tener en cuenta. 

• Pérdida de confianza en los usuarios: una mala gestión de la Protección de Datos puede hacer que los usuarios dejen de valorar el trabajo y los servicios que presta la empresa, esto afecta a la credibilidad y los valores que promulga la compañía.
• Sanciones: un mal uso de la gestión de la Protección de Datos puede conllevar a una serie de infracciones por incumplimientos, como los siguientes:
  
  • Vulnerar los principios y garantías de datos personales:
    • Licitud, lealtad y transparencia;
    • Finalidad;
    • Minimización de datos;
    • Exactitud;
    • Limitación del plazo de conservación;
    • Integridad y confidencialidad;
    • Responsabilidad proactiva.
  • Recoger el consentimiento sin las garantías adecuadas.
  • Utilizar datos para una finalidad que no sea compatible.
  • Omisión del deber de informar al interesado.
  • Vulnerar el deber de confidencialidad.
  • No atender de forma reiterada los derechos de los interesados.
    

• Pérdidas de futuros nuevos negocios: aparte de una pérdida de confianza en los clientes y las sanciones que puede acarrear una mala gestión de la Protección de Datos, también se puede producir un daño en lo que se refiere a abrir nuevas oportunidades de negocio.
  

Delegado de Protección de Datos: figura fundamental

Tal y como se recoge en el blog de la Agencia Española de Protección de Datos (AEPD), la figura del Delegado de Protección de Datos (DPO/ DPD) constituye “uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la Protección de Datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.”

Siguiendo con la figura del DPO, la AEPD detalla que el Delegado de Protección de Datos “deberá contar con conocimientos especializados del Derecho y, obviamente en Protección de Datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.”

¿Cómo adaptarse al RGPD? Hoja de Ruta (ámbito privado)

La AEPD establece una hoja de ruta sobre cómo adaptarse al RGPD, aplicable desde el 25 de mayo de 2018. En ella se destacan una serie de pasos que una empresa del sector privado debería seguir para cumplir con la normativa.

• Designación del Delegado de Protección de Datos, si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario, designar un DPD, identificar a la/s persona/s responsable de coordinar la adaptación.
• Elaborar el registro actividades de tratamiento, teniendo en cuenta su finalidad y la base jurídica.
• Realizar un Análisis de Riesgos.
• Revisar las medidas de seguridad a la luz de los resultados del Análisis de Riesgos, tanto para garantizar la integridad, confidencialidad y disponibilidad de los datos, como para salvaguardad los derechos y libertades de las personas.
• Establecer mecanismos y procedimientos necesarios para realizar la notificación de quiebras de seguridad.

• A partir de los resultados del Análisis de Riesgos, realizar, en su caso, evaluación de impacto en la Protección de Datos.

¿Por qué contratar una empresa experta para la gestión de la Protección de Datos?

Ahora, llegados a este punto, es posible que estés interesado en implantar la normativa de Protección de Datos en tu empresa. Es cierto que hoy en día existe un amplio abanico de mercado y contratar la consultora de Protección de Datos más conveniente para tu negocio puede resultar difícil. Pero ¡No te preocupes más!

Desde Grupo CFI, expertos en Ciberseguridad y Protección de Datos, contamos con una amplia experiencia en el sector, más de 18 años dedicándonos de lleno a nuestros clientes. Disponemos de un equipo de profesionales que poseen los conocimientos jurídicos y técnicos para poder realizar esta labor con la máxima eficacia, siempre, sin duda, interesados en estar actualizados de cualquier cambio que pueda llegar a producirse en la normativa o en la publicación de nuevas leyes o reglamentos.

Por supuesto, desde Grupo CFI siempre te ofrecemos todos los servicios que necesites, siempre a tu medida, asesorándote y guiándote en todo el proceso, con el fin de que cumplas con la normativa. Además, nos adaptamos con facilidad sea el sector que sea, aportándote soluciones personalizadas a tus necesidades.

Conclusión

En el año 2016, el Parlamento Europeo aprobó el Reglamento General de Protección de Datos (RGPD) para la gestión de la información en una sociedad puramente digital. La nueva normativa tiene por objeto proteger los datos de los usuarios. Con este Reglamento, nunca, hasta la fecha, los usuarios habían tenido tanto control sobre sus datos.

En resumen, en la actualidad, proteger los datos de los usuarios no es una alternativa, sino una obligación, y todas las empresas que traten con información sensible tienen la responsabilidad de hacer un uso coherente de dichos de datos. Porque sin duda, una correcta gestión de la Protección de Datos ofrece una serie de beneficios que no se pueden pasar por alto: ayuda a proyectar una imagen coherente, hace que los usuarios confíen en tu trabajo, evita recibir sanciones, perder información, etc.

Sin duda, lo fundamental que toda empresa debe tener en cuenta para proteger estos datos está en tres pilares básicos: garantizar la confidencialidad, la integridad y la disponibilidad de la información.