El pasado 25 de mayo se cumplió el quinto aniversario de la entrada en vigor del Reglamento General de Protección de Datos, más conocido por sus siglas RGPD. Esta normativa europea supuso un paso adelante en la regulación del tratamiento de los datos personales a los que han tenido acceso otras personas, empresas u organizaciones. Una de sus principales novedades que implementaba la normativa es que no sólo afectaba a aquellas personas físicas con las que alguien hubiera tenido una relación, sino también a las jurídicas, cuyos datos de contacto personales se vieron inmersos en los requisitos de cumplimiento del RGPD, lo que ampliaba un alcance que, hasta entonces, estaba exento y metía en el cajón de la obligación legal a proveedores y terceras empresas, que antes se liberaban por este pequeño matiz.
Índice de temas
Sanción a Meta
Su implementación trajo consigo cambios en la operativa de las empresas y en la manera en la que hasta el momento se trataba la información sensible de los usuarios. Y es que, el RGPD afectó a todos aquellos departamentos de una organización que tratase con información personal, por lo que la gran mayoría de ellas tuvieron que asignar a un encargado de proteger los datos personales y que era el responsable de ejecutar los procedimientos que exigía el reglamento. Ese responsable debía contar con la formación y las capacidades adecuadas para poder llevar a cabo distintas auditorías y evitar las sanciones que podían llegar a alcanzar el 4% de la facturación de la organización.
En los últimos días, el RGPD ha ganado protagonismo gracias a la sanción de 1.200 millones de euros impuesta a Meta por parte de Irlanda por no proteger los datos de sus usuarios. Pero no ha sido la única, sino que otras grandes compañías como Amazon, Google, H&M o la aerolínea British Airways ya han tenido que pagar cuantiosas multas por infracción de algunos de los preceptos regulados. En estos momentos, el popular sistema de IA generativa Chat GPT, también está en el punto de mira.
Mucho por avanzar
Pero más allá de todos estos mediáticos casos, lo cierto es que las empresas todavía tienen mucho que avanzar en el cumplimiento de este conjunto de reglas. Sin ir más lejos, un reciente estudio de la Universitat Oberta de Catalunya concluye que sólo un pequeño porcentaje de las 500 webs más visitadas de España, implementa de forma correcta los requisitos que exige el Reglamento. Una situación que afecta a todo tipo de entidades, desde empresas, a sitios de streaming e incluso Organismos Públicos. El problema es que, si incluso las entidades más grandes incumplen algunos de los apartados de la normativa vigente, es previsible que aquellas organizaciones más pequeñas también lo estén incumpliendo.
A causa de esto, es necesario incidir en la importancia de cumplir con las reglas. Uno de los principales errores que cometen algunas empresas radica en el hecho que, no sólo que hay que proteger los datos personales y tratarlos acorde al Reglamento, sino que además es obligatorio demostrar que se están tomando las medidas necesarias para su protección.
Por este motivo, resulta crucial contar con un socio que ayude a cumplir todos los apartados que rigen el RGPD. Desde su nacimiento, hace cinco años, han aparecido en el mercado diferentes soluciones que ayudan a ello. Son herramientas que no sólo permiten implantar y gestionar que se obedece la normativa, sino que también hacen posible su mantenimiento y llevan a cabo una trazabilidad de todo el sistema de gestión de protección de datos para que la empresa, en el caso de ser requerida, pueda demostrar en todo momento que el cumplimiento que se hace es el que dice hacer.
Este tipo de herramientas, por tanto, son más necesarias que nunca y permiten esquivar cualquier multa debido a la efectividad de las mismas. Sin embargo, dado que hay numerosas soluciones de estas características, la clave radica en qué hay que exigirle a una solución que permita cumplir con el RGPD. En general, estas soluciones deben tener unos principios básicos. En el primero de ellos, la herramienta debe identificar los peligros que puede haber en el tratamiento de los datos y disponer de un catálogo para solucionarlos. Asimismo, la plataforma debe proporcionar una selección de tratamientos de datos a analizar, la posibilidad de configurar las dimensiones de valoración del riesgo y analizar los riesgos de los tratamientos de datos. El software debería incluir también un mapa del posible impacto negativo de estos, con diferentes representaciones gráficas para mostrar resultados, identificación de riesgos repercutidos o dependientes y la gestión de planes de acción derivados de este análisis.
Finalmente, y como otro aspecto destacado, una herramienta de estas características debe posibilitar la gestión de empleados y proveedores para, de esta forma, ofrecer control sobre las cesiones y encargos de tratamiento de datos, las transferencias internacionales de datos, la gestión de incidencias e incidentes, la gestión de soportes y las prestaciones de servicio, con o sin acceso a datos.
Se trata, en definitiva, de contar con un partner adecuado como GlobalSuite Solutions, que dispone de la experiencia necesaria para desarrollar una estrategia de protección de datos y de cumplimiento y que además posee una herramienta que permite cumplir con todos los puntos a los que obliga el RGPD.