7 cuestiones del RGPD que muchas empresas todavía no han aplicado, por Carlos Roberto Cabello, técnico de sistemas
La llegada del RGPD ha supuesto un estrés importante en su adaptación para las empresas. Llegar al 25 de mayo con los deberes hechos era el objetivo, pero quedan muchas cosas por cumplir que siguen sin aplicarse:
- Cómo el nuevo RGPD nos obliga a realizar cambios continuos en nuestra política de protección de datos.
- Cómo actuar ante una brecha de seguridad.
Muchas empresas se han quedado en la superficie del nuevo RGPD: se han enviado muchos mensajes de correo para solicitar nuevos consentimientos en el uso de los datos a clientes, proveedores, etc., se han retocado los textos que se incluyen al enviar un correo electrónico o los avisos de nuestra página web…, pero poco más, y hay muchas cuestiones pendientes para cumplir con el RGPD que numerosas empresas todavía no han aplicado. En especial las más pequeñas, que no cuentan con personal especializado y que han tenido que designar a alguien de su organización para que ejerza de responsable de tratamiento. En muchos casos, esta persona no tiene los conocimientos necesarios, la formación o el tiempo para ejercer este papel debidamente.
No se otorga la importancia debida en las pymes al RGPD, lo que provoca disfunciones, aspectos a los que la ley nos obliga y que no están debidamente procedimentados para saber cómo actuar en caso necesario. Vamos a ver alguno de ellos:
1. Tener una brecha de seguridad y cómo notificarla
Lo primero que debemos tener claro es cómo vamos a actuar en el caso de tener un incidente de seguridad en la empresa. Ya no sirve esconderse como ha ocurrido tradicionalmente en el caso de la LOPD. Es obligatorio notificar en 72 horas la brecha de seguridad desde su detección ante la agencia competente, la AEPD, en el caso de España.
Pero las obligaciones de las empresas van más allá, porque no solo se trata de avisar, sino también de identificar el tipo de incidente; por ejemplo si una persona no autorizada ha accedido a información o si los datos han dejado de estar disponibles durante un tiempo. Hay que tener un protocolo de actuación que nos permita identificar, clasificar, contener y evitar que se repita en el futuro. Y este es un tema pendiente en la mayoría de las empresas. Si hoy tenemos un incidente de seguridad, ¿sabemos qué tenemos que hacer en nuestra organización?
2. Los empleados desconocen la política interna de uso de datos
Se ha actuado poniendo el foco en la recogida de datos, pero no tanto a nivel interno, tomando las medidas organizativas necesarias. Los empleados desconocen el impacto del nuevo reglamento. Tampoco se han cambiado cuestiones relativas al acceso de los datos. Se sigue actuando igual que antes de la entrada en vigor del RGPD.
Si bien las empresas se preocupan de tener aplicaciones adaptadas que garanticen las medidas de seguridad adecuadas, luego no se protegen datos y documentos que están fuera de dichas aplicaciones. Un DNI escaneado que se guarda en una carpeta a la que todo el mundo tiene acceso supone un problema.
Se tiene que cambiar la cultura de protección de datos y la privacidad en las empresas. Toda la plantilla tiene que estar sensibilizada con esta cuestión. De otra forma seguirán llevándose datos personales en una memoria USB para trabajar en casa, se guardarán en el ordenador del hogar sin ningún control o se perderá esa memoria…
3. Política de mesas limpias
Los datos no pueden estar a la vista de cualquiera. Se tiene que acabar con esa política de mesas con documentos al alcance de todo el mundo que pasa por allí. Es cierto que solo los trabajadores tienen acceso en muchos casos a la mesa, pero no todos tienen por qué conocer determinados aspectos, como puede ser la cuenta corriente de un cliente, su DNI o su fecha de nacimiento.
Es necesario aplicar una política de mesas limpias. Todos los documentos en papel que contengan datos personales tienen que estar guardados en cajones con llave. Y esto aplica también a aquellas empresas que trabajan con ordenadores y grandes pantallas mal colocados. No es posible que alguien que pase por la calle y se pare pueda ver datos personales que estén en pantalla. Y esto es más frecuente de lo que podría parecer.
4. Asegurar el derecho al olvido
¿Podemos eliminar todos los datos de alguien cuando nos los solicita? Lo cierto es que muchas veces los datos están dispersos por diferentes aplicaciones, carpetas de documentos en nuestros servidores, copias de seguridad, etc. Esta dispersión puede ser muy amplia.
Pero también tenemos la obligación de conservar determinados datos por cuestiones legales. Pongamos el caso de un cliente que quiere ejercer el derecho al olvido, pero al cual facturamos y vendimos un producto hace dos años. Ante una inspección de Hacienda tenemos que conservar facturas en las que aparecen sus datos. Muchas empresas no saben cómo ejercer este derecho al olvido.
5. Facilitar la portabilidad de los datos
Algo similar ocurre con la portabilidad de los datos. Pongamos el ejemplo de un cliente que se marcha a la competencia y nos pide la portabilidad. ¿Sabemos cómo debemos trasladar dichos datos? ¿Tenemos capacidad para ello? ¿Implica que debemos deshacernos de dichos datos o tenemos que conservarlos? ¿Cuánto tiempo tenemos para responder a la solicitud del cliente?
Si, por ejemplo, entregamos todos los datos en un archivo PDF, ¿se consideraría suficiente? Hay que tener en cuenta que los datos tienen que facilitarse en un formato estructurado que permita su incorporación a otro sistema informático, como por ejemplo *.xml.
6. Implementar medidas de seguridad adicionales
En muchas empresas ni siquiera se ha hecho un análisis de riesgos riguroso. Pero incluso en aquellas que lo han realizado, ¿se han sacado conclusiones? ¿Se han tomado medidas de seguridad adicionales? La mayoría de las empresas siguen trabajando igual que antes del 25 de mayo.
No se han tomado medidas de seguridad adicionales y esto es algo a lo que nos obliga el RGPD. No se especifica qué tenemos que hacer, sino que se deja al criterio de las empresas para que tomen las medidas que consideren oportunas. Y esto es un problema. Puede que hasta que no se vean las primeras sanciones no se empiecen a poner las pilas y tomarse en serio la seguridad en las empresas.
Un ejemplo sencillo. ¿Quién puede acceder al lugar donde se guardan las copias de seguridad? ¿Tenemos alguna política que limite la impresión de documentos? ¿Podemos garantizar la trazabilidad del acceso a los datos? ¿Tenemos una destructora de documentos y la utilizamos en nuestro despacho o todo va a la papelera?
7. ¿Podemos seguir enviando mensajes a los clientes a través de WhatsApp?
Por último, la política de comunicación con los clientes tiene que cambiar. En muchas ocasiones, es habitual que un autónomo o una pequeña empresa utilice WhatsApp para comunicarse con sus clientes. Sin embargo, no siempre se ha solicitado un consentimiento para utilizar dicho medio.
El problema radica en que la aplicación de mensajería cruza datos con Facebook, por lo que el responsable del tratamiento, en este caso la empresa, tendría que notificar a su cliente que la red de mensajería puede compartir sus datos con la app. Y aquí es la empresa la responsable de la gestión de los datos de los clientes, no WhatsApp.
El consentimiento del cliente y la información clara en la que se explica este punto no los tienen la mayoría de las empresas. Y sin embargo siguen comunicándose con sus clientes por este medio sin ningún problema.
Estos son solo algunos aspectos, hay muchos más que las empresas no se han parado a evaluar. Lo cierto es que para muchas organizaciones parece que el 25 de mayo, en lugar de la entrada en vigor del Reglamento, ha sido del día en el que ha comenzado la adaptación y les queda mucho trabajo por delante.