El nuevo Reglamento General de Protección de Datos (RGPD) que entrará en vigor el 25 de mayo, afectará a todas las empresas -grandes, medianas, pequeñas, start-up, …- dentro del marco europeo, incluso, a nivel mundial, en determinadas cuestiones relacionadas con la seguridad de la información.
Esta nueva normativa sobre la protección de datos es ya un hecho. Es decir, el RGPD ha sido aprobado por los organismos competentes y está en vigor desde 2016, si bien, la fecha prevista para su aplicación es el 25 de mayo del año en curso, o sea, de este recién estrenado 2018. Y lo hará con la particularidad de que será aplicable desde ese momento directamente, tanto en el entorno privado como en el público.
Alguna de las preguntas más frecuentes con las que nos hemos encontrado y que provienen del entorno de las pymes, están relacionadas con la convergencia o no en España, del RGPD con la actual LOPD. Bien, La respuesta es que ambas normativas, así como el resto de reglamentos o directivas vigentes en nuestro país relacionadas con la protección de datos, convivirán en simultáneo, por lo que se espera que la información esté aún más protegida de lo que está en estos momentos.
Para aclarar un poco más algunas cuestiones específicas sobre el RGPD te propongo que sigas leyendo:
Qué es en realidad eso del RGPD y a quién afecta
Cuando hablamos de RGPD nos estamos refiriendo al Reglamento 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de los mismos. Con este nuevo Reglamente queda derogada la Directiva 95/45/CE.
En realidad, con independencia de todos estos apuntes normativos, lo que seguramente te estarás preguntando es, en qué modo y/o medida te afecta a ti o a las empresas e instituciones con las que trabajas y te relacionas. Te comento. El RGPD deberá aplicarse a todas las empresas, sociedades, autónomos, asociaciones, instituciones y, por supuesto, organismos y Administración Pública que operen en el entorno de la Unión Europea. Si cualquiera de estos sujetos se encontrara fuera de la Unión Europea, también estarán obligados a cumplir el Reglamento, los encargados y/o responsables de tratar con todos los afectados, y que dirijan sus servicios hacia el entorno de los residentes en la UE.
Por qué nos inquieta el RGPD
Puede que no seas del todo consciente, pero de un modo u otro, en el entorno laboral, estamos trabajando -sí o sí- con información de carácter personal. Es verdad que lo hacemos -o deberíamos- bajo supervisión y que los procedimientos en los que se utilizan este tipo de datos están -o deberían- perfectamente definidos por la propia organización.
La entrada en vigor del RGPD nos inquieta, en primer lugar, porque cualquier cosa que pueda llegar a “tocarnos el bolsillo” ya nos aporta una dosis de estrés adicional. Y, en segundo lugar, porque este Reglamento General de Protección de Datos, implica una serie de cambios que deberemos abordar si, como te digo, no queremos ser sancionados.
El principal cambio es, como en los procesos de transformación digital de los que tanto hablamos últimamente, de mentalidad. Es decir, debemos concienciarnos sobre la importancia de mantener protegida la información. Las empresas o, mejor dicho, la sociedad en general debe madurar en este sentido y dejar de pensar en las sanciones que acarrean el incumplimiento, es decir, hacer las cosas por el miedo a ser descubiertos, y pasar a basar su comportamiento sobre los principios de la transparencia y la responsabilidad. Es decir, cumplir no por el miedo a las multas sino por las consecuencias que puede acarrear para terceros el incumplimiento de las normas.
El RGPD quiere que seamos responsables
La AGPD (Agencia Española de Protección de Datos) hablaba en la LOPD de las consecuencias que implicaba el incumplimiento de la norma. Y a todos se nos hizo un nudo en la garganta cuando pensamos en las posibles sanciones que nos podrían sobrevenir si hiciéramos las cosas mal. Multas que oscilaban entre los 900 y los 600.000 euros.
Bueno. Ahora el RGPD, aunque insiste en la búsqueda de la responsabilidad empresarial, del compromiso, la creación de una cultura en la que prime la protección del dato personal, etc. lo cierto es que fija la cuantía de las multas administrativas en 10M€ o el 2% del volumen de negocio anual. Eso para empezar. En los casos más graves las sanciones pueden incluso multiplicarse por dos. O sea que, aunque el planteamiento es diferente, porque, como digo, el RGPD incide en la necesidad de concienciación para que se generalice el uso responsable del dato, lo cierto es que, las multas si esto no se consigue, son de una cuantía que asusta, y mucho.
RGPD nos protege más y mejor …
En el RGPD se ponen en valor los derechos de acceso, transparencia, información, portabilidad, rectificación, limitación del tratamiento, oposición y, por supuesto, derecho de supresión, que es lo que conocemos comúnmente como “derecho al olvido”. Te recuerdo que en la actual LOPD estos derechos, reunidos bajo el acrónimo ARCO se refieren únicamente al acceso, rectificación, cancelación y oposición. Luego, así, de entrada, ya vemos que el RGPD es mucho más completo que la Ley Orgánica de Protección de Datos.
… pero las empresas se responsabilizan de la implantación de medidas de seguridad
Analizar las posibles vulnerabilidades informáticas, identificar sus brechas de seguridad y, seleccionar, así, las mejores soluciones para detectar, impedir o neutralizar posibles ataques, es labor de los sujetos afectados por el RGPD (los que mencionaba al principio del texto). O sea que, “la pelota está en nuestro tejado”. Una “pelota” que además implica la implementación de medidas de seguridad avanzadas y actualizadas, es decir, que utilizar sistemas de protección obsoletos, puede acarrear sanciones.
Esto me lleva, inevitablemente a pensar en el aumento de los delitos informáticos, noticias que nos llegan casi a diario a través de los medios de comunicación, RRSS y demás soportes de información, sobre el ataque a determinadas organizaciones e instituciones altamente protegidas. Seguro que recuerdas el ataque del “Wanna Cry”, un ransomware que encriptó los ordenadores de medio mundo en un ataque indiscriminado que afectó, particularmente a grandes empresas.
Solo por el miedo a ser atacado, ya deberíamos estar alertas, pero es que, además, como digo, el RGPD traslada a las empresas la responsabilidad de identificar las medidas de seguridad concretas para aplicar en el tratamiento de los datos. O sea que, si te atacan, es posible, además, que te sancionen por no estar suficientemente protegido.
Dicho esto, te recomiendo que, además de garantizar tu seguridad, confirmes que las soluciones informáticas que implementes y los proveedores con los que trabajes, cumplen con los requisitos de seguridad que plantea el RGPD. En el apartado concreto de los aplicativos ERP, es de vital importancia porque son sistemas transversales, la columna vertebral de tu organización.