El Reglamento General de Protección de Datos, cuya vigencia dio comienzo el día 25 de mayo de 2016, pasará a ser de obligatoria implantación a partir del 25 de mayo de este año 2018. Este periodo de dos años ha tenido por finalidad que las instituciones y las empresas de los países de la Unión Europea pudieran planear cuándo aplicar la RGPD a sus modelos de organización.
¿Qué implica la implantación del RGPD?
Para ponerse al día en cuanto a la protección de datos, necesitan renovarse los procesos corporativos de la empresa, el personal de la misma y la tecnología disponible. Ello implica ponerse en manos de profesionales como los servicios de consultoría en protección de datos, los cuales comprobarán que toda la documentación se adapta a la nueva normativa, en el caso de afrontar por primera vez su implantación.
Si el reglamento ya está implantado en la empresa, los profesionales deberían realizar una revisión minuciosa de toda la documentación, comprobar que cumple la ley, y partir de ahí para realizar toda la modificación conveniente.
¿Cuándo sería conveniente aplicar la nueva normativa?
Si bien es cierto que el periodo para cumplir con el RGPD es hasta el 25 de mayo, y que se extenderá durante 6 meses más como periodo de adaptación, no es recomendable perder ni un instante. Es necesario que toda empresa que necesite cumplir con el reglamento empiece de inmediato a implementar o actualizarse en sus politicas respecto a la ley.
En el caso de no cumplir a tiempo con la ley o faltar en algún aspecto a la misma se pueden imponer sanciones a la empresa de hasta los 20 millones de euros, o de un 4 % del beneficio bruto de la empresa. Además, en casos de fugas de información, la empresa está obligada a demostrar que ha analizado y aplicado los requisitos de la RGPD de acuerdo a la naturaleza de los procesos de datos personales que se manejan. Del mismo modo, deberán proporcionar la documentación que demuestra haber implementado las medidas organizativas y técnicas que exige la ley.
¿Cómo afrontar el cumplimiento del Reglamento y evitar las sanciones?
El proceso de aplicación de la normativa en la empresa puede dividirse en tres fases bien diferenciadas:
Evaluación
El objetivo de esta primera fase es conocer en profundidad el sistema de gestión de la empresa que precisa cumplir con el RGPD.
Para ello, se realiza una evaluación del nivel de idoneidad de la organización respecto al RGPD. Después, se desarrolla el plan de acción con las acciones recomendadas para adecuarse a la nueva ley.
La duración estimada práctica de esta fase se estima entre 2 y 4 semanas.
Implantación
El objetivo de esta segunda fase es el de poner en práctica los procedimientos y herramientas según el plan de acción elaborado en la fase anterior.
Se ejecuta el plan de acción implantando las normas legales para el tratamiento de los datos y su almacenamiento. Es muy importante, además, establecer contacto con fabricantes y proveedores de software de gestión de datos.
Según el tamaño de la empresa, y si esta ya tenía implantada la regulación de protección de datos anterior, esta segunda fase puede requerir un tiempo estimado entre 1 y 6 meses.
Verificación
El objetivo de esta última fase es el de asegurar que, efectivamente, ya se cumple con el nuevo RGPD.
En esta fase se llevan a cabo una serie de actividades cuya función es similar a la de una auditoría de los legisladores en RGPD, con la que se asegurará que se cumplen todos los requisitos legales en un entorno que permita subsanar a tiempo los errores.
Esta fase puede demorarse entre 1 y 2 semanas, a lo sumo.
¿Qué necesita la empresa para emprender la implantación del nuevo RGPD?
Como se mencionó anteriormente, lo más importante es poder contar con el soporte de profesionales formados y expertos en la legislación de protección de datos. Este equipo podrá evaluar toda la gestión documental de la empresa, y empezar a plantear un plan adecuado tras su análisis. Cada empresa necesita unas acciones concretas y únicas, en muchos casos.
Lo principal, es integrar herramientas adecuadas que sirvan de soporte para los nuevos procedimientos. Éstos deberán normalizarse en la empresa por completo, formando parte íntegra de su organización. Estas herramientas pueden implicar:
– Programas detectores de fuga de información.
– Un gestor de procesos automatizados para la recogida de los consentimientos de protección de datos.
– Un sistema de encriptación de los datos.
– Un programa que enliste las identidades y permita su gestión.
– Otras clases de software específico según las necesidades de la empresa.
Para aquellas empresas que no sepan cuándo aplicar la RGPD, la respuesta es clara: cuanto antes mejor, y es imprescindible contar con un servicio de profesionales que evalúe la adecuación de la organización y elabore un plan de acciones para afrontar la implantación.