RGPD: ¿están tus empleados formados correctamente?
La llegada del nuevo RGPD ha supuesto un cambio muy importante respecto a la protección de datos personales en las empresas. Sin embargo, en caso de existir, parece que toda la obligación recae sobre el responsable de tratamiento o el delegado de protección. Pero ¿qué ocurre con el resto de empleados?
- No basta con tener herramientas adaptadas para cumplir con el RGPD, también es necesario que los empleados acrediten unos conocimientos mínimos en protección de datos.
- Los empleados son los que trabajan directamente con los datos y muchas de las sanciones se producen simplemente por desconocimiento de las obligaciones legales.
Cuando se habla de protección de datos, muchas empresas están tranquilas porque, llegado el día de la puesta en marcha del nuevo Reglamento General de Protección de Datos (RGPD), volvieron a pedir el consentimiento a sus contactos de la base de datos o tienen herramientas adaptadas a este. Pero queda mucho por hacer, empezando por formar correctamente a los empleados responsables de la manipulación de los datos.
En caso de contar con un Delegado de Protección de Datos, este debería ser el encargado de formar e informar a los empleados de cómo deben actuar, qué precauciones deben tomar o cuál es la participación del empleado dentro de las medidas técnicas y organizativas de la empresa.
Igualmente, es preciso remarcar cómo hay que actuar ante una brecha de seguridad o de protección de datos, ya que el tiempo para comunicar esta a la AEPD es muy breve. Es algo muy importante a la hora de evitar sanciones, puesto que no solo hay que comunicarlo, sino además solucionar el problema en el menor tiempo posible.
Los empleados, un riesgo más a considerar en el RGPD
Hay que tener en cuenta que muchos de los empleados ni siquiera saben qué es un dato personal y qué no lo es. También surgen muchas dudas a la hora de clasificar el tipo de datos almacenados, lo que puede provocar que tengamos que tomar más medidas de seguridad o menos.
Con la adaptación al RDPD, la empresa ha cumplido una serie de requisitos, como el análisis de riesgos o un diseño de seguridad desde la recogida de datos. Sin embargo, muchas organizaciones no incluyen como riesgo al personal sin formación en protección de datos. Y ciertamente lo es.
Porque si se desconoce la normativa, nada impide sacar un listado de clientes en un USB para trabajar en casa y que incluye nombres, direcciones, DNI…, y que fácilmente puede acabar perdido, filtrado en internet, etc. Este es un ejemplo habitual de una mala manipulación de datos que puede realizar un empleado. Al fin y al cabo, él solo intenta hacer su trabajo lo mejor posible.
Lo mismo se puede decir de una copia de seguridad de datos que sale fuera de las instalaciones de la empresa, pero que no está cifrada y puede perderse. Además, muchas veces, los propios empleados desconocen la necesidad de notificar dichas brechas de seguridad. Se reemplaza el disco perdido por otro y se pasa página.
Otro ejemplo sería la reutilización de papel de la fotocopiadora, en el que se incluyan datos de otros clientes. Usar el papel de un informe que no ha salido con el formato adecuado, pero que incluye datos de clientes y que por error se entrega a otro al imprimir un documento, no es algo inusual.
Formación para empleados en el RGPD
Lo ideal es que el responsable de tratamiento vele por implantar buenas prácticas. En una empresa pequeña es posible intentar mantener todo bajo control, supervisar a sus compañeros, etc. Pero, a medida que crece un poco, la cosa cambia y al menos es importante que en cada departamento haya un empleado que lidere la protección de datos.
Si el responsable de tratamiento no tiene tiempo y no se dispone de un Delegado de Protección de Datos, lo ideal es acudir a un curso de formación, como los que organiza Sage, donde especialistas en la materia son los encargados de proporcionar a los empleados los conocimientos necesarios para el cumplimiento y uso eficaz de las medidas de seguridad de los datos personales.
Omitir esta obligación ya supone un incumplimiento del RGPD, ya que no se establece una de sus premisas: la protección de datos desde el diseño. En este sentido, se tiende a pensar que estas medidas son técnicas, con herramientas tecnológicas como un firewall, una aplicación de base de datos, pero no a nivel organizativo y de políticas internas.
Esta formación, además, tiene que ser adaptada para todo el mundo, sin que sea necesario tener conocimientos jurídicos. Al igual que los avisos y consentimientos tienen que ser fácilmente comprensibles, las medidas de seguridad, las buenas prácticas en el tratamiento de datos, tienen que ser creadas para que cualquiera pueda entender cómo llevarlas a cabo.
Por último, también es necesario destacar que es imprescindible incluir esta formación en el paquete de bienvenida para los nuevos empleados. Al igual que se les forma en las tareas que deben hacer, es fundamental que conozcan cómo deben tratar los datos personales y las políticas de la empresa al respecto.
Carlos Roberto Cabello
Técnico de sistemas, Carlos Roberto trabaja desde hace 15 años con empresas en el área de sistemas y atención al cliente para ayudarles a mejorar su relación con las nuevas tecnologías. Con un perfil mixto en ciencias y letras, Carlos Roberto cuenta con gran capacidad para traducir a un lenguaje “a pie de calle” explicaciones técnicas para usuarios que no cuentan con esos conocimientos.