Errores en los que no hay que incurrir con GDPR

  • Normativa

El Reglamento General de Protección de Datos (GDPR) siempre ha generado dudas, que se han podido ver agravadas por un exceso de información. Unisys ha recopilado una serie de bulos en torno a la norma, que pueden inducir a errores en el cumplimiento.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

“A menos de un mes de que entre en vigor la nueva norma, las dudas son aún generalizadas”, señala Unisys. Esta empresa también advierte de que la información a la que están expuestas las organizaciones desde hace un par de años en torno a la necesidad del cumplimiento del nuevo Reglamento General de Protección de Datos, que entra en vigor el próximo 25 de mayo, es inmensa y, en ocasiones, confusa.

La compañía ha trabajado en la recopilación los nueve bulos que más ha escuchado en los últimos meses en diferentes foros en los que se ha tratado la nueva legislación:

“Me pueden multar desde 300.000€ a un 4% de facturación con un máximo de 20 millones de euros, es lo peor de GDPR”
Sólo aquellas organizaciones que no cumplan el reglamento o no notifiquen sobre el robo o perdidas de datos que involucren a los derechos y libertades de las personas serán sancionadas. Sin embargo, sí es importante tener en cuenta que habrá más advertencias, reproches públicos y peticiones de correcciones que harán que la imagen corporativa pueda ser dañada hacia sus clientes y provocar una merma mayor en el negocio de la empresa.

“GDPR sólo tiene que ver con los datos digitales”
GDPR involucra a toda la empresa, no solo al departamento de tecnología: afecta desde cómo y dónde apuntamos las personas que pasan por recepción hasta los procesos por los que recorre la información en nuestra empresa, incluso, los papeles que se dejan encima de las mesas.

“Los datos personales que tenemos en nuestros sistemas antes del 25 de mayo no tenemos por qué tratarlos”
Toda la información que tenga la organización en su poder sobre datos personales, sea histórica o nueva, debe alinearse con los preceptos de la nueva norma. Los únicos datos que no se verán afectados son los relacionados con fallecidos, ya que en ese caso la regulación GDPR no aplicará. No hay que olvidar los consentimientos informados que se deben adquirir, de no tenerlos aún, de forma fehaciente.

“Mis servicios me los proporciona terceras empresas en cloud: que cumplan ellos”
Cualquier dato al que acceda una persona de la organización, ya sea para visualizarlo, manipularlo, tratarlo o modificarlo es susceptible de verse afectado por el GDPR aunque es importante asegurarse de que el proveedor de cloud cumpla con la norma.

“Como DPO…, como soy PYME, pondré a mi hijo, a mi hija o al cuñado y resuelto”
GDPR no fija la capacitación mínima para desempeñar la función de DPO, pero deja en manos de la empresa que dicho nombramiento se realice teniendo en cuenta que se está seguro de la capacitación del mismo, por lo que se recomienda contar con un DPO certificado o subcontratarlo como servicio.

“GDPR sólo es un problema europeo”
Cualquier organización que trabaje con datos de los ciudadanos europeos debe cumplir con la reglamentación, sea o no miembro de la Unión Europea.

“No pasa nada porque quede menos de un mes: esto es rápido de implantar”
GDPR es un cambio de filosofía: afecta a cómo conseguir los datos, procesarlos, almacenarlos e incluso a quién puede acceder a ellos, sin importar el soporte en el que se encuentren almacenados dichos datos, por lo que afecta también culturalmente a la empresa y cuanto antes se empiece, antes se comprenderá el alcance.

“Yo ya he contratado una auditoria de GDPR y me han entregado el certificado de que mi empresa cumple”
No existe un certificado de cumplimiento de GDPR. El enfoque de evaluar una empresa se corresponde al anterior marco legal. El GDPR exige analizar tratamiento a tratamiento y cada propósito del tratamiento. Muchas empresas se han planteado una estrategia incorrecta intentando adaptarse desde la anterior norma, lo cual presupone un alto riesgo de incumplimiento.

“Ya he renovado todos los consentimientos de mis trabajadores, clientes y proveedores”
Muchas empresas han realizado un esfuerzo en renovar los consentimientos y esto es un grave error que puede ocasionar serios problemas de gestión y hasta incumplimientos de GDPR ya que, en muchos casos, basar el tratamiento en el consentimiento del interesado es, en sí mismo, un incumplimiento de GDPR.