Desde el mes de mayo de mayo de 2018 está en vigor en todo el territorio de la Unión Europea la nueva regulación en materia de protección de datos. En España, esta regulación recibe el nombre de Reglamento General de Protección de Datos (RGPD), pues es a partir de esta figura, un reglamento, cómo se ha traspuesto la regulación europea al derecho español.
Esta nueva normativa obligó en su día a pymes y empresas a adaptarse para poder gestionar toda la información que poseen las compañías de clientes y proveedores, haciendo uso de esta información con total seguridad y siguiendo la legislación vigente.
¿Qué objetivos persigue la nueva legislación?
La nueva regulación supuso, y todavía lo genera, ciertas preocupaciones y dudas a muchas pymes, que han tenido que tomar medidas para adaptarse a estas nuevas normas de juego.
Para no caer en errores y someterse a posibles sanciones económicas y problemas en el ámbito legal, muchas pymes acuden a empresas como Grupo Datcon Norte, que está especializada en realizar adaptaciones a los nuevos cambios en materia de protección de datos (LOPD) y RGPD.
La ley de protección de datos para empresas tiene por objetivo proteger las propias infraestructuras técnicas e informáticas de la compañía, pero por otro, garantizar también la protección de las personas, para que no se vean sometidas a posibles ataques que buscan vulnerabildiades en la red.
Con esta nueva normativa que ya está en vigor, las pymes se ven obligadas a gestionar mejor la información y desarrollar mayores medidas de prevención. Grupo Datcon Norte, así como otras empresas del sector, ayudan a pymes y empresas a comprender la alta responsabilidad que supone gestionar datos de clientes y proveedores.
¿Cuáles son las tareas de las empresas? ¿Cómo han de adaptarse a la LOPD?
Con esta nueva normativa, las pymes se ven obligadas a registrar previamente las evidencias del cumplimiento de la ley ante la administración pública. De lo contrario, se pueden ver sometidas a multas si reciben ciberataques. Esto es lo que se conoce como registro preventivo.
Las empresas, públicas o privadas, que dispongan de datos enmarcados dentro de la categoría especial (étnicos, ideolñogios, genéticos, sanitarios), deben contar de forma obligatoria con una figura, la del delegato de datos, que es el responsible de asesorar a la compañía en materia de protección de datos, cumplimiento de la normativa y hacer de nexo con las autoridades de control.
Más allá de los requisitos propios de la prevención, la nueva normativa incluye acciones a realizar por parte las pymes y empresas en caso de recibir un ciberataque. Si ocurre un episodio de este tipo, la empresa ha de hacer públicas las violaciones de seguridad en un plazo de 72 horas y comunicar estas mismas a los usuarios, clientes, proveedores y personas afectadas.
¿Qué medidas tomaron y están tomando las empresas para adaptarse a la nueva regulación de la protección de datos?
Muchas empresas optan por “externalizar” estos servicios de protección de datos, esto es, dejar que sean otras empresas las que indiquen cuáles son los procedimientos a seguir para cumplir con éxito ante la nueva legislación.
Las soluciones tecnológicas son una parcela intersante porque permiten aportar garantías de seguridad, extraer toda la información necesaria y evidenciar el cumplimiento de la normativa ante las autoridades.
Por otra parte, otras pymes optan por formar a sus profesionales, para que estén al tanto de la relevancia que supone la protección de datos. En cualquier caso, ambas prácticas, la de “externalizar” este servicio y la de formar a los profesionales de la propia empresa, no están reñidas entre sí. Puede ocurrir que sean empresas como Grupo Datcon Norte las que asesoren en esta materia.
¿Quiénes quedan fuera de la nueva regulación de protección de datos?
A pesar de que son muchas las empresas que están trabajando para adaptarse a la nueva normativa en esta materia, la Agencia Española de Protección de Datos establece excepciones a algunos profesionales, como los médicos y los abogados que ejerzcan su profesión por cuenta propia, es decir, sean abogados autónomos.
Estos profesionales, y según recoge la guía oficial de evaluaciones de impacto, los empresarios debían encomendar al delegado de protección de datos para “identificar, evaluar y tratar los riesgos asociados al tratamiento de datos personales, y así, poder asegurar los principios de protección de los datos garantizando los derechos y libertades de los interesados”.
La Agencia Española de Protección de Datos considera que estas evaluaciones suponen un proceso costoso y que es necesario aplicar un principio de economía de medios, por lo que “un primer análisis cualitativo puede concluir que no es necesario realizar dicha evaluación de impacto”, siempre que se fundamente de manera adecuada.
También señala de manera expresa a los tratamientos de datos personales relacionados con la gestión interna del personal de las pymes “con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral”, pero nunca la información relativa a los datos de los clientes.
