Seis consejos que ayudan a mejorar el área de protección de datos

ESET aprovecha el cuarto aniversario de la RGPD para repasar algunas de las áreas clave que puedes mejorar para proteger tus datos de un modo adecuado

El 25 de mayo de 2018 marcó un punto de inflexión en protección de datos, cuando empezó a aplicarse el GDPR, la normativa europea que rige en este ámbito y que ha sido trasladada a las legislaciones locales de los países de la UE.

A finales del pasado año, la firma de ciberseguridad ESET, publicó un informe sobre las sanciones impuestas en Europa desde entonces, que revelaba que las empresas españolas habían sido las que más sanciones habían recibido hasta la fecha, con un total de 273 multas valoradas en más de 32 millones de euros.

Con estos datos, la compañía ha reunido una serie de consejos que ayudan a cumplir con esta norma:

Dejar de pensar en el reglamento como un enemigo
Desde que comenzó a aplicarse, los incumplimientos del reglamento han hecho mucho daño en la confianza del consumidor. Algunas empresas han vivido el susto de tener que pagar de repente un buen número de multas. Sin embargo, la confianza sigue siendo un bien muy apreciado y el GDPR no es solo otra irritante carga burocrática para tu negocio: en realidad, ayuda a crear una relación de confianza con los clientes. Por tanto, en lugar de temerlo, hay que pensar en él como una guía que evita que los clientes no entreguen sus datos o que abandonen la empresa totalmente. Por ejemplo, un buen comienzo es establecer portales de privacidad desde los que los clientes puedan acceder a sus datos y dar su consentimiento para los servicios personalizados que consideran valiosos.

Otra buena idea es que la declaración de privacidad de la empresa sea inteligible porque el número de personas que se leen enteras las declaraciones de privacidad sigue siendo muy bajo. La mayoría deja de leer porque esas declaraciones son demasiado largas o difíciles de entender. Todas las compañías online que se preocupan de su identidad digital deben proporcionar declaraciones de privacidad que sean concisas, transparentes y fácilmente comprensibles para todos los usuarios.

Asegurarse de que se entiende el término «información personal»
Sigue habiendo una falta de comprensión de este término entre las empresas y, por este motivo, es esencial definir correctamente qué es la información personal. Hoy en día, todos los usuarios dejan en Internet rastros de datos de nuestra vida personal. La información de identificación personal (PII) no solo es el número IBAN o de DNI, los mensajes de correo electrónico y la información de contacto. La PII también incluye cualquier información relacionada con una persona física identificable, incluidas publicaciones en redes sociales, imágenes de perfil y las direcciones IP de los dispositivos.

Elegir un buen responsable de protección de datos
Si en una empresa como actividades principales se supervisan de manera habitual y sistemática datos de los interesados o se procesan gran cantidad de categorías especiales de datos, tiene que designar a un responsable de protección de datos (RPD). Su responsabilidad principal es garantizar que todos los procesos relacionados con los datos de los clientes corporativos cumplen la normativa.

Conservar pruebas del cumplimiento
Tarde o temprano, la empresa puede que tenga que explicar ante la autoridad competente cómo se manejan los datos. Por tanto, los procesos tienen que estar documentados para probar el cumplimiento de la norma.

Por eso, lo recomendable es hacer el seguimiento de todos los puntos de contacto de datos, desde la recopilación al uso. Según ESET, se deben implementar tecnologías que impidan la pérdida de datos y procesos que ayuden tanto a conciliar la información en los distintos sistemas y procesos como a crear auditorías más resistentes que puedan seguir los rastros de datos. No hay que olvidarse de los datos guardados en medios sin conexión digital.

El cumplimiento del reglamento no debe recaer en un solo departamento
Dejar la responsabilidad del cumplimiento únicamente en manos de tu departamento de TI no es la solución adecuada porque afecta a muchas áreas diferentes de la empresa, y todos los empleados deben recibir formación para que entiendan cómo les afecta les afecta a ellos y a los clientes.

Cuidado con la divulgación accidental de información sobre los clientes en Internet
Aunque los datos de los clientes suelen considerarse uno de los activos de datos más críticos, las empresas siguen sufriendo fugas de información confidencial que contiene información de los clientes, como contratos de activación e identificaciones.

A menudo, esas brechas se producen por negligencias. Además, esos datos a veces se suben a servidores públicos para compartir gratuitamente archivos y donde todo el mundo puede descargarlos. Y están las llamadas “redes profundas”, en las que los datos también se pueden vender. De acuerdo con la normativa, tus clientes tienen derecho a saber qué datos se recopilan sobre ellos e incluso a suprimir los registros de sus datos. Por eso, es necesario tomar las medidas de seguridad suficientes para mantener esos datos protegidos contra cualquier fuga de datos.