Header Ads Widget

Ticker

6/recent/ticker-posts

GDPR Para Pequeñas Empresas: Diez Sencillos Pasos Que Todas Las Organizaciones Deben Seguir

 La ley de protección de datos no ha experimentado una actualización significativa desde que la UE promulgó una legislación en 1995, solo seis años después del nacimiento de la web. Pero el RGPD está a punto de cambiar las cosas.

GDPR para pequeñas empresas: Diez sencillos pasos que todas las organizaciones deben seguir

Oficialmente conocida como el Reglamento General de Protección de Datos, la ley reemplazará esa directiva obsoleta el 25 de mayo en una medida que, según la Oficina del Comisionado de Información del Reino Unido, señala una "evolución" en lugar de una "revolución" para la protección de datos.

GDPR tiene como objetivo fortalecer y unificar la ley de protección de datos en la era digital. Significa que cualquier organización, grande o pequeña, que procese o controle datos en la Unión Europea debe cumplir con la legislación, que se trasladará a las leyes nacionales de cada estado miembro. Brexit no cambia esta realidad.

LEA A CONTINUACIÓN:  ¿Cómo se verán afectados sus datos por el RGPD?

 Las organizaciones que cometan infracciones graves, como no solicitar repetidamente el consentimiento del cliente para procesar datos, se enfrentarán a multas de hasta 20 millones de euros (17,7 millones de libras esterlinas) o el 4% de sus ingresos anuales mundiales, lo que sea mayor.

Pero a pesar del tono alarmista sobre el RGPD, el mejor consejo para muchas organizaciones es mantener la calma y seguir adelante. La mayoría de las organizaciones ya están tratando con datos de ciudadanos de la UE y están obligadas a cumplir con la directiva de protección de datos de 1995 existente. Significa que la infraestructura para manejar GDPR ya está en su lugar.

En particular, el RGPD es una oportunidad para realizar una auditoría de calidad para eliminar las malas prácticas y los procedimientos inapropiados.

Lista de verificación de cumplimiento de GDPR: lo que necesita saber

  1. Si su organización es una autoridad u organismo público, o maneja datos confidenciales a gran escala, o el procesamiento de datos es fundamental para sus operaciones que implican un "monitoreo regular y sistemático", entonces deberá contratar a un oficial de protección de datos (DPO) . El DPO debe ser independiente y debe reportar directamente a la alta gerencia. Consejo: cree una unidad de protección de la información (UIP) donde los expertos legales y los especialistas en seguridad de la información del departamento de TI puedan trabajar juntos.
  2. Ayude al DPO a ejecutar una " auditoría de activos de información ". En otras palabras, mapee sus datos para determinar qué departamento tiene acceso a qué datos y con qué propósito. Asegurar una buena comunicación entre la UIP y todas las funciones internas, especialmente TI y marketing. Trate de ver al DPO como una figura que permite que una organización funcione, en lugar de simplemente como un oficial de cumplimiento. El DPO puede ayudarlo a adoptar principios de “ privacidad por diseño ” al momento de desarrollar nuevas aplicaciones y servicios relevantes para sus clientes.
  3. Una vez que haya completado la auditoría de activos de datos, el DPO lo ayudará a encontrar la “ base legal ” apropiada para el procesamiento en cada caso, y adaptará los procedimientos en consecuencia. Ejecute “ evaluaciones de impacto de la protección de datos ” cada vez que el procesamiento de datos se considere de alto riesgo.
  4. Tenga cuidado con la forma en que solicita permiso para procesar los datos de alguien. Permita que la UIP revise sus formularios de “ notificación y consentimiento ”. Explique en términos simples a los clientes qué datos está recopilando y cómo está utilizando esa información. Brinde a las personas una manera fácil de optar por que sus datos se recopilen y almacenen, y verifique la precisión de su información. Y recuerda ejercitar sus derechos: acceso, rectificación, supresión, limitación del tratamiento y derecho de oposición. Encuentre formas que permitan a las personas acceder a sus datos en forma digital bajo los derechos de “ portabilidad de datos ”.
  5. Permita que la UIP revise sus procedimientos de seguridad y administración de información internos y externos. Debe asegurarse de que sus proveedores de TI, como los que ofrecen servicios en la nube, cumplan con el RGPD y de que se adopten altos estándares de seguridad de la información a lo largo de su cadena de suministro de datos.
  6. Revisar los acuerdos de transferencia e intercambio de datos. Utilice " reglas corporativas vinculantes " cuando sea apropiado. Si opera en varios países de la UE, asegúrese de saber quién es su autoridad principal de protección de datos; puede solicitar ayuda al respecto al consejo consultivo independiente de protección de datos, el Grupo de trabajo del artículo 29 .
  7. Capacite a sus empleados para que manejen los datos de manera adecuada. Desde el servicio de atención al cliente hasta el personal de RR.HH. y la unidad de inteligencia estratégica, todos los empleados deben comprender algunas lecciones básicas sobre la seguridad de la información y los derechos de los interesados ​​contenidos en el RGPD.
  8. Mantenga un registro de todas las decisiones que tome y esté listo para explicar y proporcionar evidencia de cumplimiento total en cualquier momento. Esté preparado para el día después de que su organización haya sufrido una violación de datos. Tendrá 72 horas antes de que se le solicite notificar a la autoridad de protección de datos y a los medios de comunicación. Recuerde que el RGPD trata sobre la gestión de riesgos y el fomento de una cultura de responsabilidad; si se implementa correctamente, le ayudará a proteger su reputación y su valiosa información.
  9. Recuerde que el RGPD no es una elección entre privacidad o innovación: se trata de privacidad e innovación . Considérelo como una oportunidad para dejar de almacenar datos para uso futuro y para comprender mejor qué datos necesita retener. GDPR es una oportunidad para reducir el riesgo de ser víctima de un escándalo de datos causado por malas prácticas de privacidad.
  10. Fomente el diálogo dentro de su sector para identificar las mejores prácticas y establecer nuevos estándares. Pida consejo a su autoridad de protección de datos y deje que su UIP aprenda de los demás y comparta sus logros y preocupaciones. GDPR promueve la creación de códigos de conducta y programas de certificación . GDPR se trata de mejorar los estándares de la industria, definitivamente no está solo.

La conversaciónGDPR no es algo que las organizaciones deban temer a medida que el reloj avanza hasta el 25 de mayo. Tome los pasos correctos para desarrollar sus marcos de procesamiento de datos existentes; el resto debería ser muy sencillo.

Sara Degli-Esposti es investigadora en la Universidad de Coventry y Maureen Meadows es profesora en la Universidad de Coventry. Este artículo se publicó originalmente en The Conversation .

Publicar un comentario

0 Comentarios