Los mecanismos con los que cuentan actualmente las empresas para obtener, analizar y llevar a cabo la gestión de datos personales son un valioso recurso a nivel estratégico y operativo para una compañía de éxito.
Pero también, se trata de un factor de cierta complejidad ya que requiere garantizar la seguridad de la información de los usuarios, pues son datos sensibles que pueden comprometer a una firma de prestigio.
Por ello, en este artículo en AON hacemos énfasis sobre la importancia de la adecuación de los procesos de gestión de datos personales en las empresas.
Procesos de gestión de datos personales: la importancia de su control en las empresas
El 25 de mayo de 2018 entró en vigor en toda la Unión Europea el nuevo Reglamento General de Protección de Datos (RGPD), algo que ha obligado a todas las empresas que estuvieran en posesión de datos personales a solicitar a sus usuarios, suscriptores o clientes la aceptación de la nueva normativa.
Este nuevo texto ha unificado las regulaciones existentes en la Unión Europea en materia de seguridad cibernética y ha elevado las sanciones por incumplimiento en materia de protección de datos personales y utilización indebida de los mismos. Con un objetivo muy claro: proteger la información personal de los ciudadanos.
Sin embargo esta medida, que trata de beneficiar a millones de personas, ha supuesto también un importante coste añadido para una enorme cantidad de compañías que manejan, procesan y gestionan datos personales y que han tenido que adaptar sus políticas a la nueva normativa.
No solo las empresas localizadas en Europa han necesitado adecuar sus procesos. Todas las compañías que gestionan datos, a nivel global, se han visto frente a esta tesitura para cumplir con las nuevas exigencias.
Y es que en un mundo digital donde no existen fronteras y en el que prácticamente todas las gestiones con datos personales, tanto con la Administración como con las entidades financieras y otras actividades cotidianas como las compras o la formación, pasan por los sistemas informáticos alojados en servidores de diversos países, cualquier empresa es susceptible de ser multada por incumplimiento de la normativa.
Y se trata de sanciones importantes. Desde la entrada en vigor del nuevo Reglamento General de Protección de Datos la cuantía de estas se ha incrementado, llegando a los 20 millones de euros o hasta el 4 % de la facturación anual de la empresa infractora.
Ante esta situación las empresas administradoras de datos se han visto obligadas a crear políticas de privacidad ajustadas a la nueva norma.
Esto les ha exigido, entre otras cosas, tener que mejorar la transparencia y la notificación de los datos almacenados; solicitar el consentimiento sobre la recopilación de datos y el uso de estos o comunicar la portabilidad de los datos, incluida la capacidad de transferir datos a otro controlador.
Además, las compañías deben ofrecer la posibilidad de borrado de datos y ser capaces de notificar al usuario si se produce una violación de los mismos.
Ante esta realidad se ha experimentado un crecimiento en la demanda de ciber seguros por parte de las empresas que quieren protegerse y proteger a sus clientes de los riesgos implícitos en la recolección y gestión de este tipo de datos de carácter sensible.
Además, las compañías pueden evitar de este modo sanciones millonarias por problemas de ciberseguridad, uso indebido de dicha información, etc.
No obstante, este cambio ha supuesto una oportunidad para muchas compañías, como veremos a continuación.
Ventajas de adecuar los procesos de gestión de datos personales en una compañía
Aon enfoca esta nueva regulación como una oportunidad para las empresas más que como un problema.
Las regulaciones relacionadas con la privacidad de los datos brindan a las organizaciones la oportunidad de reforzar su papel como administradores responsables de la información personal.
Una buena gestión de los datos personales mejorará la imagen de la compañía, alejará las sanciones y se convertirá en un activo para el negocio.
Además, la gestión de datos personales, permite a las empresas trabajar con información útil con la poder llegar a comprender el comportamiento y las preferencias de sus clientes.
Importancia de un sistema de gestión de datos personales
Los avances y sistemas de gestión y protección de datos personales con los que las empresas pueden tratar y analizar dicha información eran algo impensable hace algunos años.
Y es que las fuentes de extracción de toda esa información cada vez son más variadas e innovadoras. Las fuentes más comunes son los ficheros de datos personales, las cuentas de clientes en línea, las redes sociales, la navegación, las transacciones relativas a compras online.
En este sentido, se hace imprescindible contar con un sistema de gestión de datos personales sólido que permita a la organización aprovechar todo el potencial latente en el Big Data de sus BBDD y de este modo poder estar siempre correctamente alineada con lo previsto en la normativa vigente y realizar los cambios organizativos necesarios para ello.
Para ello, es fundamental tener en cuenta los siguientes aspectos:
- Realizar un plan de seguimiento para comprobar que el SGDP está siendo constante y adecuadamente mantenido al margen de las auditorías bienales que se lleven a cabo tal y como marca la norma. Para que estos planes voluntarios sean efectivos deberán recoger un análisis continuo del estado de parte o todos los procesos implicados en la gestión de datos personales para de este modo ofrecer a la entidad, la capacidad de reacción necesaria para corregir aquellos problemas o incidencias que puedan estar sucediendo.
- Llevar a cabo un inventario de las bases de datos que incluyan datos personales para que de este modo, la empresa pueda valorar el alcance y la profundidad de su sistema de gestión de datos personales, tal y como se recoge en la LOPD 15/1999, art 3 y RD 1720/2007, art 5.
- Establecer medidas y procedimientos de seguridad eficaces por fases claramente delimitadas para cada una de las bases de datos orientadas a cubrir todos los aspectos de la vida útil de los datos: entrada, almacenamiento, gestión, cesión y eliminación de estos.
- Determinar los procedimientos organizativos necesarios: asignación de un responsable de seguridad que defina qué perfiles en la organización tienen acceso a esos datos, el tipo de acceso, etc.(RD 1720/2007, Titulo VIII, Capitulo III)
- Identificación y gestión de riesgos e incidencias asociados al proceso, estableciendo responsables y procedimientos preventivos para cada área que participe en la gestión de esta información para garantizar un mayor control y reducir las incidencias derivadas o mejorar la gestión de las mismas evitando que otros procesos se vean afectados y reduciendo de esta forma los tiempos de respuesta y solución de estas. (RD 1720/2007. art. 90)
- Impartición de formación a los perfiles encargados de la gestión de datos personales para mejorar su concienciación sobre su responsabilidad en el proceso y asegurar el correcto desempeño de sus funciones para evitar consecuencias legales que puedan afectar a la empresa.
- Poner a disposición de los usuarios los procedimientos adecuados para dar respuesta al ejercicio de sus derechos, siempre poniendo en conocimiento a las personas encargadas de estas labores. (RD 1720/2007, Titulo III, Capitulo 1).
Aon, empresa líder en ciberseguridad y consultoría especializada, pone a disposición de las compañías estos y otros recursos para el conveniente desarrollo de los procesos de gestión de datos personales a fin de lograr su correcta adecuación. Contacta y descubre más sobre estos y otros servicios profesionales para empresas.
