En 2022 se impusieron en España casi 300 sanciones por incumplir el RGPD

Recomendados.... » Active Directory, protegiendo el corazón de la organización Leer » Cómo mejorar la seguridad con servicios gestionados Informe » Tendencias en ciberseguridad para blindar a las empresas Acceder

Mañana 28 de enero es el Día Europeo de la Protección de Datos, una efeméride que nos recuerda el obligado cumplimiento del Reglamento General de Protección de Datos (RGPD), que, sin embargo, muchas empresas no acatan, dado el aumento en el número de sanciones impuestas por las autoridades de protección de datos de la UE. En España, la Agencia Española de Protección de Datos ha impuesto casi 300 sanciones en 2022 por un importe de unos 23 millones de euros. Las más cuantiosas han recaído en las grandes tecnológicas, como Google, que fue multada con 10 millones de euros por no gestionar de forma adecuada las solicitudes de derecho al olvido de los usuarios.

El aumento de las sanciones en este ámbito es uno de los aspectos que más preocupa a las empresas, ya que las más bajas son de 10 millones de euros o el 2% del volumen de negocio total anual del ejercicio financiero anterior (la cifra que sea de mayor cuantía). Además, el Código Penal en España tipifica ciertas conductas graves relacionadas con un inadecuado tratamiento de datos personales. Por lo tanto, las empresas no solo están expuestas a sanciones administrativas, sino incluso también a responsabilidad penal. Así, Secure&IT, plantea siete claves para adoptar correctamente la normativa de protección de datos en la compañía y evitar sanciones:

· Responsabilidad proactiva (diligencia). Las organizaciones tienen la obligación de demostrar el cumplimiento de la normativa. Esto significa que no solo hay que cumplir, sino que es necesario poder demostrar que se está cumpliendo.

· Aplicar las medidas organizativas y técnicas necesarias para evitar brechas de seguridad. Es decir, las redes y los sistemas de información deben ser capaces de resistir ante acontecimientos accidentales o ataques que puedan comprometer los datos personales. Es importante empezar por un análisis de riesgos que determine, por un lado, los riesgos que existen para la propia organización y, por otro, para los derechos y libertades de los interesados.

· No enviar comunicaciones sin el consentimiento del interesado, salvo las excepciones que ya planteaba la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico: que exista una relación contractual previa y que los productos o servicios que se publiciten sean similares a los contratados.

· Aplicar el principio de transparencia. Esto supone que los usuarios deberán ser informados, de forma clara y precisa, y con un lenguaje entendible, del tratamiento que se va a hacer de sus datos.

· Respetar los derechos digitales de los trabajadores. Los trabajadores cuentan con una serie de derechos digitales, entre los que se encuentran el derecho a la desconexión digital (fuera de su horario laboral, los trabajadores no están obligados a utilizar dispositivos electrónicos con motivos profesionales) y el derecho a la intimidad en el uso de los dispositivos corporativos.

· Figura del delegado de protección de datos. Las organizaciones deben analizar la necesidad de tener un delegado de protección de datos (DPD), ya que no es obligatoria en todos los casos. Pero, la normativa recoge infracciones graves para aquellas empresas que estén obligadas a contar con esta figura y no lo hagan.

· Respetar y aplicar los derechos de los afectados (Derechos ARSOPOL). Es necesario contar con procedimientos para gestionar de una manera adecuada los derechos de los interesados que son: acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y oposición a ser objeto de decisiones individuales automatizadas.