902 92 99 26

El cumplimiento del RGPD en asesorías y gestorías

Las asesorías y gestorías tienen que adaptarse al Reglamento Europeo de Protección de Datos (RGPD) y redoblar sus políticas de protección de datos para evitar ser objeto de sanciones. En este artículo se explica qué hay que incluir en el contrato y cómo establecer medidas de seguridad con consultoras de confianza como Gesprodat.

Medidas de seguridad RGPD: ¿Qué se debe establecer en el contrato?

La responsabilidad de implementar medidas de seguridad en los ficheros de datos es de las empresas, pero muchas no tienen el conocimiento suficiente para ello. Lo habitual, pues, es que este tipo de funciones se externalicen a profesionales que sí que disponen de los conocimientos necesarios. En este caso, y si el contrato incluye los ítems necesarios, la responsabilidad será transferida a estas empresas.

La mayoría de las asesorías y gestorías firman un contrato de medidas de seguridad con una empresa especializada en protección de datos. Hay una serie de aspectos que ha de incluir el documento para que se pueda considerar ajustado a derecho (según lo establecido en el artículo 32 del RGPD). Estos son los principales:

1. Seudonimización y protección de datos personales

El contrato debe indicar que el responsable del tratamiento de datos se encargará de la seudonimización de las personas interesadas y el cifrado de los datos. Ambas medidas tienen como objetivo evitar el phsihing. Por otra parte, hay que recordar que la privacidad es un aspecto fundamental y esta es una de las maneras que hay para garantizarla.

2. Garantizar la confidencialidad

El responsable de datos tiene que hacer constar la confidencialidad en el tratamiento de los mismos, así como su integridad. La idea es que los datos personales no se vayan a difundir a terceras personas que no tienen nada que ver. Si bien la confidencialidad es una premisa básica en muchas relaciones comerciales, en este caso se refuerza contractualmente.

3. Garantizar el acceso y disponibilidad

El acceso a los datos es una de las principales condiciones que exige el RGPD, de manera que en el contrato es imprescindible que conste este aspecto. La legislación española también incluía este aspecto desde hace años como el derecho de acceso a los datos personales.

4. Proceso de evaluación y verificación

En el contrato debe constar cómo se va a verificar que todo funciona según lo acordado. Por otra parte, también debe incluir las medidas de evaluación periódicas que se van a implementar. Por último, se ha de hacer una valoración periódica que indique si estas son las mejores técnicas aplicables o si hay otras mejores.

¿Cómo establecer las medidas de seguridad y protección de datos según el RGPD?

Lo cierto es que no hay un único criterio para establecer las medidas de seguridad y, por lo tanto, han de valorarse distintos aspectos. Una vez más, el artículo 32 del RGPD da pautas para una implementación conforme a derecho teniendo en cuenta los siguientes ítems:

1. Coste de la aplicación

El coste de la aplicación es un criterio importante porque debe ser proporcional al tamaño de la empresa. Por lo tanto, no tendrá sentido aplicar medidas de seguridad que, en condiciones normales, una empresa no puede afrontar. Las asesorías y gestorías de empresa realizan un trabajo en el que se usan muchos datos confidenciales y privados, de ahí que se tengan que redoblar los esfuerzos.

2. Estado de la técnica

Las medidas de protección de datos deben ser adecuadas a las situaciones de cada momento. La técnica cambia a menudo, de manera que en ocasiones hay una parte que ha quedado desfasada y que conviene actualizar para ganar en efectividad. El desarrollo de los sistemas en la nube u otras alternativas son claros ejemplos de esta evolución.

3. Naturaleza, alcance y finalidad del tratamiento

El análisis de la naturaleza del tratamiento de datos, su alcance y la finalidad son algunos de los elementos críticos. Los negocios de asesoría y gestoría han de tener presente que manejan datos confidenciales relacionados con los ingresos y el patrimonio de sus clientes. Lo conveniente es que las medidas de seguridad vayan en consonancia con los objetivos marcados para así garantizar todos los derechos.

4. El riesgo calculado

El riesgo calculado se refiere a las posibilidades reales de tener problemas si no se toman las medidas de seguridad necesarias. No llevar a cabo esto puede suponer el robo de información sensible que puede echar por tierra muchas inversiones. Calcular las probabilidades es fundamental para tomar decisiones en el proceso de protección de datos.

Conclusión

La implementación de medidas más ambiciosas para garantizar la protección de datos en asesorías y gestorías no es una opción, sino una obligación exigible. Hay que recordar que las sanciones de la nueva normativa pueden alcanzar los 20 millones de euros o el 4 % de la facturación. En consecuencia, convendrá contar con el asesoramiento profesional de especialistas en este ámbito.

imagen

Share: