Nueva Normalidad: ¿Solventamos los errores del pasado?
La aparición del COVID-19, el posterior confinamiento y la consiguiente desescalada ha desembocado en este momento. Momento que supone una nueva casilla de salida, un nuevo comenzar, una nueva normalidad, algo que nos produce cierta incertidumbre y desasosiego pero que, sin duda, también tiene su punto positivo, ¿qué tal si lo aprovechamos para solventar los errores del pasado?
No cabe duda de que nos encontramos en la era el dato, de la tecnología e información, por lo que, si eres de los que considera que es un buen momento para “renovarse o morir” y apuesta no sólo por innovar sino también por cumplir con las obligaciones legales que, quizás, no estaba teniendo en consideración hasta este momento, el punto de partida es contar con una Hoja de Ruta que detalle los hitos y objetivos de cada fase y nos sirva de guía en este proceso.
¿Cuál podría ser nuestra Hoja de Ruta? ¿Con qué elementos debe contar mi empresa para que los flujos de datos e información sean legales?
La Agencia Española de Protección de Datos (AEPD) trata, a través de la creación de herramientas, guías, protocolos, etc., de apoyar a las PYMES en este proceso y, en este sentido, ha tratado de priorizar los elementos necesarios y básico en toda Hoja de Ruta que se precie.
¿Por dónde empezamos?
1. Revisando las medidas de seguridad en función del análisis de riesgos.
A nadie se le escapa que, en la era del dato y la globalización de la información los riesgos a los que nos vemos expuestos son muchos, de muy diversa índole y además muy novedosos.
Los virus espías o los secuestros de información hace tiempo que dejaron de ser elementos de películas de ciencia-ficción, forman parte de nuestra realidad, y del tejido empresarial de Canarias, y en muchas ocasiones se materializan por errores que hubieran sido fácilmente superables si se hubieran aplicado las medidas de seguridad adecuadas.
¿Qué medidas de seguridad debes aplicar? Para empezar, podría utilizarse la herramienta FACILITA de la AEPD, que está destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de contacto y facturación de los clientes o proveedores de una pequeña empresa, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral, esta herramienta facilita unos documentos que, con carácter general, determinan las medidas de seguridad más adecuadas según la organización.
2. Establecer mecanismos y procedimientos de gestión ante las brechas de seguridad.
Si incluso aplicando las medidas necesarias, se producen los incidentes de seguridad sobre la información, es necesario contar con un procedimiento de actuación, ya que, en la actualidad existe la obligación de notificar la misma a la AEPD, así como -en algunos supuestos- a los afectados. ¿Has pensado el daño reputacional que supone comunicar a tus clientes que sus datos han sido “robados”?
3. Adecuar los formularios de recogida de datos personales al contenido del derecho a la información.
Revisa, ¿en cada formulario de datos que tienes en tu empresa (online/papel) se informa al interesado sobre el tratamiento que harás de los mismos? Si la respuesta es NO, estás incumpliendo con un principio básico de la normativa protectora de datos de carácter personal, es decir, estás cometiendo una infracción considerada “muy grave”, por lo que la sanción económica también sería “muy grave”.
4. Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD, y adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
Aquí la pregunta a hacernos sería ¿tienes firmado un Acuerdo de Encargo de Tratamiento (AET) con todos los proveedores que tratan con datos de tu empresa? Pensemos, por ejemplo, en la asesoría fiscal, laboral, el programador de la web, la empresa de marketing…, nuevamente, si la respuesta es NO, no se está cumplimiento con otro de los puntos esenciales de la actual normativa, y ya no sólo es que estos AET estén firmados, es que garanticemos que ese proveedor es el adecuado.
5. Designar al delegado de protección.
En determinados supuestos el contar con esta figura es de carácter obligatorio en otros, puede designarse voluntariamente, ¿por qué su interés? pues porque esta figura constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones, por lo que, ayudaría a construir de forma eficaz y singularizada esta “Hoja de Ruta” en tu empresa.
Obviamente, estos no son todos los elementos, pero sí que se pueden constituir como los esenciales para arrancar esta nueva normalidad apoyándonos en la certeza y tranquilidad que supone hacer las cosas bien.
- AEPD Agencia Española de Protección de Datos confinamiento COVID-19 dato errores hoja de ruta nueva normalidad pasado pymes
Artículos Relacionados
- Lecciones del Coronavirus, Covid-19. La UE y la transformación industrial
- La humanización es innovación y supone un legado y resiliencia
- La plusvalía no debe ser una leyenda urbana
Sobre el Autor
Ingrid González Hernández
Ingrid González es abogada especialista en Derecho Digital en Ceca Magán Abogados, y máster oficial en Administración y Gobierno Electrónico. Asimismo, es Delegada de Protección de Datos (DPD) Certificada conforme al Esquema de la AEPD - ENAC; docente del Instituto Canario de Administración Pública (ICAP), así como, tutora del Programa Tutorización Nueva Empresa de la Cámara de Industria, Comercio y Navegación de Santa Cruz de Tenerife, además de miembro de la Alianza Europea de Inteligencia Artificial (Comisión Europea).
Ingrid se ha especializado en el asesoramiento jurídico para la gestión integral del dato y la gestión de los riesgos asociados al mismo, tanto en el sector privado como en el público.
En lo relativo al sector público destaca por su asesoramiento jurídico en la implantación de la Administración Electrónica; adecuación e implantación del Reglamento General Europeo de Protección de datos, ejerciendo -incluso- funciones de DPD en varias Administraciones Públicas; la llevanza de proyectos en materia de Transparencia de la información pública, así como, en proyectos de Big Data, Open Data y participación ciudadana.
En el sector privado se ha especializado, entre otras, en adaptación integral a la normativa protectora de datos personales; la llevanza de proyectos de privacidad desde el diseño y por defecto; el asesoramiento corporativo en materia de privacidad; la detección de necesidades y elaboración de planes estratégicos con asistencia en la Implantación de medidas de seguridad y la implantación de Comercio Electrónico.
Colabora en la temática de Legislación y en Innovación y Tecnología.