Todo lo que tiene que hacer tu empresa en los próximos dos años para regular la gestión de los datos privados y ahorrarse hasta 20 millones de euros de multa
El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos (RGPD), pero son mayoría los autónomos que desconocen aún este cambio legal y las importantes repercusiones que tendrán para todos, sea cual sea el modelo de negocio y el tamaño. Una vuelta de tuerca a la tan traída y manida LOPD, muchas veces incomprendida y en bastantes ocasiones menospreciada. Pero la Unión Europea se ha puesto muy seria en este tema, y las multas pueden llegar al 4% de la facturación.
Hay hasta mayo de 2018 para que sea obligatorio y tiempo por tanto para prepararse, pero la cuenta atrás ha empezado y hay que cambiar el chip desde ya. ¿Qué es lo fundamental que ha cambiado la RGPD respecto a la LOPD?
- La necesidad del consentimiento expreso de los clientes para el tratamiento de sus datos con fines comerciales.
- La obligación de velar por la seguridad y custodia de dichos datos, cifrando su contenido, tanto mientras permanezcan almacenados como cuando viajen a través de las comunicaciones.
- La obligación de comunicar públicamente de haber sido objeto de una falla de seguridad, sea pérdida por negligencia o robo y secuestro de información sobre clientes por vía hacker.
- Realización de una auditoría periódica que compruebe la idoneidad de las medidas de seguridad informática emprendidas y garanticen su puesta al día.
La clave está en el consentimiento
Los principales cambios tienen que ver con lo que se entiende por consentimiento que el cliente da para el uso de sus datos. Si hasta ahora se consideraban adecuado a la ley que hubiera un consentimiento “tácito”, el nuevo reglamento obliga revisar las cláusulas que se incluyen en las comunicaciones con el cliente para que el consentimiento sea libre, específico, informado e inequívoco.
No significa que el profesional tenga que desechar todos aquellos contactos que tenga en su poder como consecuencia de su actividad profesional hasta el momento. Hasta la fecha de entrada definitiva en vigor, el 25 de mayo de 2018, aquellos consentimientos que han sido obtenidos antes tendrán validez
Después de esa fecha, todos los consentimientos deben ser claramente expresos y revocables, no permitiéndose ningún otro tipo de consentimiento independientemente de su fecha de obtención. Además, hay que asegurarse que el cliente entiende claramente su papel, por lo que debe transmitirse toda la información mediante las herramientas habituales de comunicación, como página web, blog, newsletter o correo electrónico.
La información cifrada, sin excepción
La otra parte fundamental es la de la nueva ley es que la información permanezca cifrada. Así, todos los datos deben ser almacenados y viajar cifrados (especialmente si salen a la nube), para que en el caso de que fueran sustraídos o distraídos, el daño esté limitado; y, sobre todo, sirva de atenuante y exonere la responsabilidad derivada de la nueva GDRP.
Para una pequeña pyme, como la de un despacho de cuatro asesores que maneje información privada de clientes, más el personal administrativo, podría cubrir sus necesidades de seguridad informática para cumplir con esta directiva europea con un gasto de unos 500 euros al año, que incluiría el appliance para firewall, antivirus y sistema de cifrado. Los ataques son continuos cualquier servidor con una IP recibe dos intentos por minuto.
Evaluación de impacto, sí o sí
Una de las novedades que conlleva el Reglamento es la obligatoriedad de poner en marcha una Evaluación de Impacto en la Protección de Datos Personales, algo que en la práctica obliga al autónomo a realizar un análisis para comprobar si los datos de los que dispone se ajustan a la nueva legislación.
Obviamente se impone recurrir a alguna de las numerosas empresas que disponen de sencillas plataformas online que, por un coste único no muy elevado (alrededor de 120 euros de media), permiten realizar mediante unos sencillos pasos una auditoría de todos los elementos de comunicación de la empresa con sus clientes, ver si se adaptan o no al RGPD y cambiar sobre plantillas preestablecidas para cada sector de actividad lo que sea necesario con plenas garantías legales. También se ofrece desde ellas la opción de notificación de cumplir con los requisitos ante la Agencia de Protección de Datos, mediante una pasarela de datos cifrados y seguros.
El procedimiento es simple para el profesional autónomo. Una vez que ha preseleccionado automáticamente los ficheros y opciones más adecuados para su negocio (que podrá ampliar o modificar si es necesario), obtiene de vuelta toda la documentación obligatoria ya personalizada y adaptada: contratos con trabajadores, encargados de tratamiento de datos, cláusulas web…
La excelencia: certificación
Tras ponerse al día con la nueva legislación es también importante no sólo ser legal, sino parecerlo. Para ello, el Reglamento establece mecanismos de certificación y sellos que confirman el cumplimiento de la normativa RGPD, de modo que contribuyan a generar confianza en los actuales y futuros clientes.
Recomendaciones técnicas básicas
Para arrancar la parte operativa de este proceso de cambio deberíamos tener en cuenta también aspectos técnicos:
- Usar software legal y evitar programas inadecuados, pirateados o clamorosamente peligrosos ajenos al ecosistema de empresa, que comprometan su seguridad incrementando el riesgo de infección de malware.
- Asegurar los dispositivos, especialmente portátiles y móviles, con información sensible para evitar su robo u olvido en lugares inapropiados, así como limitar su daño cuando se conecte a redes públicas.
- Securizar las redes, terminales y servidores con elementos que gestionen y monitoricen el tráfico y pongan cortafuegos.
- Control del contenido más sensible, establecimiento de perfiles de acceso y uso interno.
- Establecer un protocolo de protección general que contemple todos estos puntos y fomentar la aplicación de mejores prácticas entre el personal.
- Entre el mínimo de medidas: cifrado robusto de los documentos (los .zip y .pdf no son de confianza porque en Internet está publicado cómo abrirlos), doble autenticación con accesos limitados cambiando de contraseña al menos una vez al año, copia de seguridad diaria o semanal, y al menos tener un sistema de visibilidad de la red para saber si ha sido vulnerada.
Por Javier Renovell