Empresa

GDPR: Qué es, multas y claves para que tu empresa se adapte al reglamento

GDPR

Hoy comienza a aplicarse el GDPR, el nuevo reglamento de protección de datos de la Unión Europea. Descubre a qué multas pueden enfrentarse las empresas que no cumplan las normas y las claves para que tu negocio se adapte al nuevo reglamento europeo.

El 25 de mayo ha sido una de las fechas más señaladas este año en los calendarios de todas las empresas europeas, y es que hoy comienza a aplicarse el esperado – y temido para algunos – GDPR.

Se trata del Reglamento General de Protección de Datos propuesta por la Unión Europea. Entró en vigor el 25 de mayo de 2016, pero se otorgó un periodo de adaptación de dos años, que hoy ya ha llegado a su fin.

Sin embargo, parece que muchas organizaciones iban a contrarreloj. A un mes del GDPR la consultora KPMG reveló en un estudio que el 54% de las compañías admitía que sus respectivos negocios no estaban listos para cumplir con el GDPR.

8 puntos clave para comprender el GDPR a fondo

Eso sí, la presión por llegar a la fecha límite no era poca. Las multas por no cumplir con lo dispuesto en el GDPR pueden llegar a superar los 20 millones de euros. Hay dos niveles de sanciones:

  • Nivel 1: La sanción menos grave, por así decirlo, se impondrá cuando la empresa no pueda demostrar una seguridad adecuada, no haya designado un DPO o no haya establecido un acuerdo sobre el procesador e datos. En estos casos la multa será o bien lo equivalente al 2% del volumen de ingreso anual de la empresa, o de 10 millones de euros, el que sea mayor.
  • Nivel 2: La multa más grave se aplica si se han infringido los derechos de los sujetos de datos, como la situación en la que se procesaron sus datos sin una base jurídica. En este caso la sanción será lo equivalnte al 4% del volumen de ingreso anual de la empresa, o 20 millones e euros, el que sea mayor.

Sin embargo, las multas no deberían ser la única motivación de las empresas para cumplir con el nuevo reglamento. Como explican desde IDC Research España, “GDPR es ante todo un reto reputacional y una oportunidad para mejorar el gobierno del dato dentro de las organizaciones“.

La consultora tecnológica asegura que la inversión en España para cumplir GDPR alcanzará los 140,7 millones de euros este año, un contexto en el que se deviene imprescindible un plan de cumplimiento continuo. Para ayudar a las empresas de todos los tamaños y sectores a cumplirlo, IDC ha revelado su decálogo GDPR, una serie de 10 claves para que tú negocio se adapte al nuevo reglamento:

  1. GDPR es un reto reputacional y una oportunidad para mejorar el gobierno del dato dentro de las organizaciones, ya que el 80% de las personas que puedan ver vulnerada su información personal no volverán a confiar nunca en esa empresa.
  2. Diseñar un plan de cumplimiento continuo, proactivo, por diseño y que involucre a todas las personas de la organización.
  3. Documentar el plan de acción y realizar un seguimiento periódico para poder justificar la existencia del mismo y el grado de cumplimiento. Según estimaciones de IDC Research España, solo el 35% cumple o tiene un compromiso fuerte con la normativa.“El 45% de las empresas restantes deberían estar en principio en el proceso de cumplimiento y por ello les recomendamos que empiecen por tener definido ese plan y documentados los pasos que van ejecutando día a día”, explica Emilio Castellote.
  4. La formación del colaborador es parte clave para concienciar a las personas de la importancia de sus acciones en la custodia del dato y garantizar el cumplimiento. Es prioritaria la formación de los colaboradores de la empresa por delante de la tecnología ya que deben comprender las implicaciones de sus acciones y las consecuencias para la organización. En definitiva, en IDC Research España recomiendan involucrar a toda la organización en el cumplimiento normativo.
  5. Figura del DPO clave para poder orquestar internamente todos los planes de unificación de la información y la formación del personal. El plan de acción debe ser global y seguido por todos los miembros de la organización y debe haber un responsable que lidere y orqueste internamente todos los procesos de recopilación de la información. IDC Research España estima que el 60% de las empresas ya tiene nominado ese DPO.
  6. Alinear el plan de cumplimento GDPR con las Personas (formación) y los Datos (plan de ciberseguridad) para proteger el acceso al dato y evitar la fuga de información sensible. Para ello es necesario priorizar las inversiones en materia de ciberseguridad que acompañen a la protección del dato y utilizar solo una plataforma para la gestión y el control de los datos.
  7. Cifrado y anonimizado de la información como parte fundamental para minimizar el impacto en caso de fuga de información. En este aspecto, IDC Research España recomienda, ya que es posible que se produzca una brecha de seguridad, cifrar y anonimizar la información para reducir el impacto en caso de fuga de dicha información. “De hecho, encriptar la información es ya la primera prioridad de las empresas”, confirma Castellote.
  8. Gestión de permisos e identidades como clave para poder conocer quién accede a la información, cuándo y desde dónde. Al ser un proceso continuo, la gestión de permisos e identidades será clave en la aplicación del GDPR. En 2019 el 75% de los CIOS, es decir, tres de cada cuatro empresas, reenfocará la estrategia de seguridad en torno a autenticación y confianza.
  9. Recurrir a ayuda externa para facilitar la integración del plan de cumplimiento de la manera más transparente y con las mayores garantías. IDC Research España pronostica que el 90% de las empresas recurrirá a ayuda externa especialmente en tres áreas: definición del plan de riesgo, asesoramiento legal y plan de ciberseguridad.
  10. Acercar al usuario final de forma transparente las condiciones de la nueva normativa generando confianza y una relación bidireccional entre la organización y el cliente.

Sobre el autor de este artículo

Christiane Drummond

Graduada en Periodismo y redactora en TICbeat. ¿Qué me interesa? La innovación, la actualidad, la tecnología y, sobre todo, las personas.