Casi un 92 % de empresas utilizan una base de datos para guardar la información de los clientes actuales o potenciales. Probablemente ya sabes que el sistema que utilizas para guardar todos los datos de los clientes debe cumplir el Reglamento general de protección de datos (RGPD). Estas son algunas de las áreas clave que puedes mejorar para proteger tus datos de un modo adecuado.
1. Dejar de pensar en el RGPD como un enemigo
Desde que el RGPD entró en vigor, los incumplimientos del reglamento han hecho mucho daño en la confianza del consumidor. Algunas empresas han vivido el susto de tener que pagar de repente un buen número de multas. Sin embargo, la confianza sigue siendo un bien muy apreciado y el RGPD no es solo otra irritante carga burocrática para tu negocio: en realidad, te ayuda a crear una relación de confianza con los clientes.
Por lo tanto, en lugar de temerlo, plantéatelo como una guía que evita que tus clientes no entreguen sus datos o que abandonen tu empresa totalmente. Por ejemplo, puedes empezar por establecer portales de privacidad desde los que tus clientes puedan acceder a sus datos y dar su consentimiento para los servicios personalizados que consideran valiosos.
O puedes desafiarte a ti mismo y hacer que tu declaración de privacidad sea más legible, porque el número de personas que se leen enteras las declaraciones de privacidad sigue siendo muy bajo. Según una encuesta de 2019 de la Comisión Europea, solo un 13 % de las 27.000 personas encuestadas se había leído las declaraciones de privacidad hasta el final. La mayoría deja de leer porque esas declaraciones son demasiado largas o demasiado difíciles de entender. Todas las empresas en línea que se preocupan de su identidad digital deben proporcionar declaraciones de privacidad que sean concisas, transparentes y fácilmente comprensibles para todos los usuarios.
2. Asegúrate de que tú y tus compañeros entendéis el término «información personal»
¿Suena raro o demasiado básico? Sigue habiendo una falta de comprensión de este término entre las empresas y, por este motivo, es esencial definir correctamente qué es la información personal.
Hoy en día, cada uno de nosotros va dejando en Internet rastros de datos de nuestra vida personal, un poco como Hansel y Gretel dejaban un rastro de migas para encontrar el camino de vuelta a casa, pero en nuestro caso cualquier persona podría utilizar esas migas para controlarnos. La información de identificación personal (PII) no solo incluye el número IBAN o de DNI, los mensajes de correo electrónico y la información de contacto. La PII también incluye cualquier información relacionada con una persona física identificable, incluidas publicaciones en redes sociales, imágenes de perfil y las direcciones IP de los dispositivos.
En una entrevista con Jaroslav Oster, experto en TI, subrayó que la comprensión de esos matices debe ser parte de una formación efectiva sobre el RGPD. “En las pequeñas y medianas empresas, gradualmente empiezan a entender que la seguridad de la información no puede construirse sin la formación adecuada de los empleados, los principales usuarios de los sistemas de información de una empresa”, explicó.
3. Elige un buen RPD
Si en tu empresa como actividades principales se supervisan de manera habitual y sistemática datos de los interesados o se procesan gran cantidad de categorías especiales de datos, tendrás que designar a un responsable de protección de datos (RPD). La responsabilidad principal del RPD es garantizar que todos los procesos relacionados con los datos de los clientes cumplen el RGPD, lo que incluye los datos de tu propio personal, de los proveedores o de cualquier otra persona con la que tu empresa tenga contacto.
¿Pero cómo se elige al RPD? Un RPD debe comprender las implicaciones prácticas de las regulaciones sobre la privacidad de los datos y debe saber cómo se evalúan los niveles de riesgo junto con las soluciones adecuadas que presentará a la dirección de la empresa. Por lo tanto, el RPD también debe tener aptitudes muy desarrolladas de negociación y capacidad de convicción para comunicarse con eficacia.
4. Conserva pruebas del cumplimiento
Tarde o temprano, puede que te pidan que expliques cómo tramita tu empresa los datos. ¿Realmente utilizas los datos de los clientes para los fines por los que los obtienes? Bien. Y ¿estás preparado para demostrarlo a un legislador?
Debes hacer el seguimiento de todos los puntos de contacto de datos, desde la recopilación al uso. Intenta implementar tecnologías que impidan la pérdida de datos y procesos que ayuden a tu organización tanto a conciliar la información en los distintos sistemas y procesos como a crear auditorías más resistentes que puedan seguir los rastros de datos. No olvides los datos que guardas en medios sin conexión digital. Todo esto es especialmente importante durante cualquier crisis que afecte a vuestra manera de hacer negocios, como durante la COVID-19.
5. No dejes el cumplimiento del RGPD en manos de un departamento
Dejar la responsabilidad del cumplimiento únicamente en manos de tu departamento de TI no es la solución adecuada. El RGPD afecta a muchas áreas diferentes de la empresa, y todos tus empleados deben recibir formación para que entiendan cómo el RGPD les afecta a ellos y a los clientes.
Si tienes tu propio equipo de TI, seguro que puedes gestionar alguno de los pasos clave que permitan un mejor cumplimiento del RGPD. Pero si tu equipo de TI tiene que gestionarlo todo, puede verse sobrepasado. Tu personal de TI también debe encargarse de la aplicación de revisiones y la supervisión de amenazas, además de estar preparado para responder a incidentes de seguridad. Una conducta responsable del empleado contribuirá a aligerar la carga del personal de TI.
6. Cuidado con la divulgación accidental de información sobre los clientes en Internet
La supervisión de filtraciones de datos ha revelado mucha información sorprendente. Incluso aunque los datos de los clientes suelen considerarse uno de los activos de datos más críticos, sobre todo en la asistencia médica y el sector financiero, las empresas siguen sufriendo fugas de información confidencial que contiene información de los clientes, como contratos de activación e identificaciones.
A menudo esas fugas se producen por negligencias. Además, esos datos a veces se suben a servidores públicos para compartir gratuitamente archivos y donde todo el mundo puede descargarlos. Y están las llamadas «redes profundas», en las que los datos también se pueden vender. Conforme al RGPD, tus clientes tienen derecho a saber qué datos se recopilan sobre ellos e incluso a suprimir los registros de sus datos. Asegúrate de que tomas las medidas de seguridad suficientes para mantener esos datos protegidos contra cualquier fuga de datos.
¿La COVID-19 ha creado medidas especiales en relación con el RGPD?
Sí.
La Presidencia del Comité Europeo de Protección de Datos (EDPB) ha emitido una declaración para aclarar que el RGPD permite que los empleadores procesen información personal en un contexto de epidemias, como la actual situación de la COVID-19. El consentimiento del sujeto de los datos no será necesario si los empleadores pueden basarse en bases legales adecuadas, como motivos de salud pública y de interés público, o para proteger intereses esenciales.
Por ejemplo, los empleadores pueden requerir información médica a los empleados para asegurarse de que pueden cumplir sus tareas. Toda la información sobre el personal que haya contraído la COVID-19, por ejemplo, solo se comunicará al resto del personal según sea necesario, por ejemplo, para prevenir su propagación. Los empleados deben saber que su información se compartirá y con quién. El procesamiento de datos médicos debe llevarse a cabo conforme a lo dispuesto en la legislación nacional.
No olvides que la legislación de protección de datos sigue aplicándose a cualquier información personal que una organización utilice para el control de enfermedades u otros fines. Por lo tanto, toda la información obtenida sobre salud necesita un grado mayor de protección. A todas las personas debe quedarles claro por qué una empresa recopila su información, cómo se utiliza y que no se está utilizando para obtener beneficio comercial.