Director General de Iron Mountain España.
Mucho puede cambiar durante los próximos dos años. En 2018 ya se habrá hecho el primer trasplante cerebral humano, Adobe Flash habrá desaparecido, el Reino Unido habrá dejado Europa – o no – y el flujo de datos en las empresas se habrá quintuplicado, según IDC.
Otro hito significativo que llegará en 2018 es que terminará el plazo para cumplir con la nueva normativa sobre el tratamiento de información personal identificable (PII). Unido a un crecimiento espectacular del volumen de datos, el resultado podría tener enormes implicaciones para cualquier tipo de empresa que procese datos personales.
A principios de este año el Parlamento Europeo aprobó el voto final sobre el Nuevo Reglamento de Protección de Datos (GDPR), diseñado para proteger la información personal en un mundo cada vez más digital. Aunque las nuevas leyes no entrarán en vigor hasta dentro de dos años, este es un plazo relativamente corto si tenemos en cuenta que las empresas necesitarán dar respuesta a nuevos requerimientos, evaluar las medidas existentes y planificar una ruta para cumplir plenamente con la nueva legislación.
Para ayudar a las empresas a entender el impacto que el Reglamento de Protección de Datos tendrá sobre sus procesos de gestión documental y dónde se enmarca dentro de un entorno legal más amplio, aconsejamos seguir los siguientes seis pasos que consideramos clave para que preparen su información y quede lista para cumplir con la nueva regulación.
¿Qué es el Reglamento de Protección de Datos?
Diseñado para proteger la información personal en un entorno cada vez más digital, el Reglamento de Protección de Datos es el cambio más radical del siglo en lo que se refiere a legislación para protección de datos. Incluye más de 50 artículos que tienen implicaciones de largo alcance para las empresas, el uso que hacen de los datos personales y su almacenamiento. Esencialmente, la legislación protege el derecho de los ciudadanos europeos a determinar si, cuándo, cómo y a quién se pueden entregar sus datos personales y cómo se pueden usar los mismos.
La recomendación de la Oficina del Comisionado de Información (órgano público independiente del Reino Unido establecido para fomentar el acceso a la información oficial y proteger la información personal) es que las empresas deben empezar a planificar su estrategia para cumplir con el Reglamento de Protección de Datos lo antes posible. El problema es que muchas organizaciones en Europa no son conscientes de los cambios que les van a afectar y el impacto que tendrán sobre ellos.
Hay un número de medidas importantes que las empresas pueden acometer para identificar dónde está ubicada la información de tipo personal y entender cuáles son sus obligaciones para protegerla. Las multas multimillonarias que esperan a los que incumplan la ley deberían ser un buen motivo para tomar estas medidas sin mayor dilación.
Paso 1 – ¿Qué son datos personales y dónde están?
La primera medida para decidir qué partes de la nueva legislación afectan a su empresa es saber qué se entiende por datos personales. La definición de “datos personales” en el contexto de la nueva normativa se refiere a los datos directa o indirectamente relacionados con una persona. Estos datos también incluyen identificadores de dispositivos, cookies y direcciones IP. Esto significa que, bajo el Reglamento de Protección de Datos, los responsables de la información dentro de las empresas deberían saber dónde están y cuáles son todos los datos personales que están bajo su control y ser capaces de demostrar que entienden los riesgos potenciales para la información y cómo mitigarlos.
Paso 2 – ¿Tengo que cumplir el Reglamento de Protección de Datos?
A continuación, es importante entender la terminología clave incluida en el Reglamento de Protección” de Datos con el fin de identificar si es importante para su empresa. Al igual que “datos personales”, también son importantes términos como “alcance territorial”, “solicitudes de acceso datos”, “consultoría sobre el impacto de la protección de datos”, “derecho al olvido”, “portabilidad de datos” y “consentimiento”. En el centro de información de nuestra página web encontrará más información, así como en el glosario de términos eugdpr.org.
Paso 3 – ¿Dónde se encuentran los datos en mi empresa?
Para poder cumplir la normativa lo primero que hay que hacer es saber dónde están los datos personales. Un análisis detallado de los datos almacenados en los sistemas informáticos corporativos, en dispositivos personales de los empleados, en almacenes externos y en dependencias destinadas al archivo, sin olvidar la información que almacenan proveedores, subcontratas y empresas colaboradoras (que almacenan datos personales en nombre de su empresa) le proporcionará una visión completa de la situación.
Paso 4 – Desarrolle un mapa de datos y clasifique la información
Tras el análisis, recomendamos crear un mapa de datos que proporcione una visión de 360º de toda la información, tanto física como digital, incluyendo datos personales almacenados por toda la empresa. El mapa de datos es una herramienta importante que garantiza poder localizar, tratar y monitorizar toda la información de forma continuada.
Paso 5 – Revise y actualice las políticas existentes
Una vez sepa dónde está la información, es necesario saber qué se puede hacer con ella y cuánto tiempo se puede conservar. Para ello tendrá que asegurarse de que sus políticas de retención están actualizadas y de que contemplan las obligaciones legales, regulatorias y contractuales para conservar solo lo que se debe y destruir los datos personales (y todos los demás) cuando se requiere, de forma demostrable.
Paso 6 – Manténgase al día y preparado
Finalmente, es importante garantizar que toda la empresa al completo esté al tanto de estas obligaciones. La información pasa por manos de empleados, subcontratas y proveedores, por lo que todas las partes deben entender y cumplir con las mismas políticas de retención. De la misma forma que las leyes cambian e imponen nuevas obligaciones a lo largo del tiempo, las políticas de retención de su empresa deberían ser dinámicas y receptivas, adaptables a un entorno empresarial y legal cambiante.
Las empresas europeas ya están acostumbradas a asegurar que los datos personales que conservan estén almacenados según la legislación vigente. Sin embargo, la llegada del Reglamento de Protección de Datos y las multas asociadas a su incumplimiento – que podrían alcanzar hasta el 4% de la facturación anual global de la empresa o a 20 millones de euros – son una advertencia de que ahora es esencial conservar la documentación de forma adecuada.
Seguir estos seis pasos es el punto de partida para evitar problemas con los organismos competentes. Si no actúa ahora, tendrá que hacerlo a toda prisa cuando no le quede más remedio, arriesgándose a cometer errores que podrían ser castigados legalmente y tener un alto coste para su empresa.
