Las grandes empresas se gastan millones con el objetivo de cumplir con el Reglamento General de Protección de Datos de la UE (GDPR) antes de que entre en vigor, el día 25 de mayo de este 2018. ¿Pero cómo deben prepararse las pequeñas empresas para el GDPR sin dedicar un departamento entero exclusivamente para ello?
“El Reglamento General de Protección de Datos de la UE (GDPR) fue diseñado para unificar las leyes de privacidad de datos en Europa, para proteger y potenciar la privacidad de todos los ciudadanos de la UE y cambiar la forma en que las organizaciones de toda la región abordan la privacidad de los datos. ~ Portal GDPR
Además de ser obligatorio para las empresas de la UE, el GDPR también se aplica "fuera de la UE si ofrecen bienes o servicios o supervisan el comportamiento de personas que pertenecen a la Unión Europea", de acuerdo con lo que se establece en el apartado de preguntas frecuentes en de la web del GDPR. "Se aplica a todas las empresas que procesan y mantienen datos personales de usuarios que residen en la Unión Europea, independientemente de la ubicación de la empresa".
Cuando falta poco más de un mes para que esta normativa entre en vigor, las publicaciones sobre el cumplimiento del GDPR en los medios se multiplican y, en algunos casos, crea una sensación de pánico, especialmente sobre las cuantiosas multas que podrían arruinar a una pequeña empresa.
Estas multas tan altas que escuchas en los medios, solo se aplican ante incumplimientos graves del reglamento GDPR, pero con la información adecuada no tienes nada que temer. Sigue leyendo para ponerte al día y saber cómo prepararte para GDPR.
¿Qué es exactamente el GDPR?
Como vimos, el GDPR es el Reglamento General de Protección de Datos de la UE que entrará en vigor en la UE el 25 de mayo. Será trascendental para cualquier empresa que recopile, procese o utilice información personal. Las demás empresas de todo el mundo también se verán afectadas por esta nueva norma si trabajan con cualquier país de la UE como España. Es una gran cadena.
El GDPR es considerado como “el cambio más importante en la regulación de privacidad de datos en los últimos 20 años”.
Se estima que, con esta ley que unifica la regulación de datos en la UE, se ahorrarán $ 2.3 mil millones al año. La esencia de todo esto es que las empresas tendrán que recopilar datos personales de forma más segura.
El reglamento GDPR será algo bueno tanto para los usuarios como para las marcas.
Todos sabemos lo irritante que puede ser que compartan nuestros datos personales sin consentimiento. La ley se está poniendo al día con el mundo digital y la necesidad de proteger a los usuarios. El "derecho al olvido" del GDPR " les da la posibilidad a los usuarios afectados de poder solicitar acceso a su información personal o que esta sea eliminada.
El año pasado, el Servicio Nacional de Salud (NHS) de Reino Unido fue golpeado por un ciberataque, además del robo de datos de Equifax - estas son solo dos de miles de organizaciones y empresas atacadas por los ciberdelincuentes. También en España, en 2017 batimos el récord en ciberataques.
El GDPR quiere garantizar que todas empresas hayan implementado la protección adecuada para proteger los datos personales de sus clientes.
La encriptación también se menciona en las reglamentaciones, aunque un producto antivirus específico de ransomware también es una muy buena opción.
Nota del editor: El plan Avanzado de GoDaddy Website Security, con tecnología Sucuri, incluye un firewall (WAF) que intercepta e inspecciona todos los datos recibidos y elimina automáticamente cualquier código malicioso.
Prepararse para GDPR: Preguntas y respuestas
A continuación, vamos a tratar algunas de las preguntas más comunes que surgen a la hora de preparar nuestro negocio para el GDPR.
¿No puedo ignorar la GDPR?
En pocas palabras, no, no puedes. Un negocio es un negocio, sin importar su tamaño, y estas medidas se aplicarán por igual. Sin embargo, existe una diferencia entre los tipos de obligaciones de mantenimiento de registros entre pequeñas y grandes empresas.
Si tienes menos de 250 empleados en tu empresa significa que debes tener registros de tus actividades de procesamiento de datos si los datos se relacionan con delitos penales o derechos de privacidad de alguien.
Con más de 250 empleados debes mantener registros mucho más detallados, pero si eres una empresa pequeña, es posible que tengas que mantener estos archivos si estás tratando con información sensible o personal. Solo está exento si se procesa información personal de residentes de la UE de manera esporádica.
¿Realmente necesito contratar a un empleado que se dedique a la protección de datos de mi empresa?
Posiblemente, todo depende de la cantidad y del tipo de información personal que recopilas, y no del tamaño de tu empresa. Por ejemplo, un grupo de empresas puede contratar a un especialista en protección de datos, siempre que esta persona esté totalmente disponible siempre que cualquier organización lo necesite.
¿Y las multas?
Ahora lo importante: las multas. Las multas que pueden imponerse por incumplimiento del GDPR pueden llegar a ser muy altas:
- Para quienes no cumplen con el GDPR, las multas pueden suponer hasta el 2% de la facturación anual de la empresa o 10 millones de euros (el importe que sea mayor).
- Este importe será del 4% de la facturación o 20 millones de euros (el importe que sea mayor) si se violan los datos personales de los usuarios.
Fíjate que cuando decimos “el importe que sea mayor”, puede ser crucial para una pequeña empresa. El impacto de esta multa podría arruinar a una pyme.
Sin embargo, estas multas se aplican solamente ante graves incumplimientos. Es decir, están ahí para reflejar la importancia de la privacidad de los datos personales. Además, deben ser "proporcionales" (es decir, si incumple, pero hizo todo lo posible para cumplir con GDPR, no recibirá una multa tan cuantiosa).
¿Qué debo hacer para garantizar el cumplimiento?
Según un estudio de IDC en colaboración con Microsoft, solo un 35% de las empresas españolas cumplen o tienen un plan sólido para cumplir con el GDPR. En cambio, un 15% se siente desinformado y un 5% todavía no sabe ni por dónde empezar.
La clave de todo esto es tomar las medidas necesarias con tiempo para evitar apuros o problemas de última hora.
- Localiza, registra y analiza qué tipo de datos personales procesas. Es importante que sepas quién puede verlos o quién los comparte.
- Establece un proceso que se ajuste a la regulación del GDPR y que sea transparente para los usuarios que facilitan su información personal, de manera que puedan dar su consentimiento con la información correcta.
- Asegúrate de poder alertar sobre una violación de datos dentro de las 72 horas siguientes a cuando se produce el hecho.
- Asegúrate de que se pueden eliminar, cambiar o transferir los datos personales cuando se solicite, dentro del plazo de un mes. La solicitud de transferencia puede ser a otra organización.
- Contrata a un experto en protección de datos si tu empresa procesa datos personales a gran escala.
Aunque se está acabando el tiempo para que las empresas puedan tener todo listo antes de la fecha límite del GDPR, aún estás a tiempo de hacerlo y cumplir con la nueva regulación.
En conclusión
Según un estudio de la agencia 7stars, un tercio de los británicos están decididos a ejercer su “derecho al olvido”, así que es el momento de ponerte manos a la obra.
El nuevo reglamento GDPR no solo es bueno para usuarios, sino también que le ayudará a tu empresa a generar un nivel de confianza mayor con sus clientes. La entrada en vigor del GDPR ya es inevitable, así que prepárate para ello.
No interpretes el contenido anterior como asesoramiento legal o fiscal. Consulta siempre con tu abogado o consultor con respecto a la situación legal o tributaria de tu empresa.