Reglamento de protección de datos para empresas y pymes

By:
Hiscox España
Hiscox España

El Reglamento General de Protección de Datos (GDPR) (Reglamento (UE) 2016/679) es un marco normativo por el cual el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea se proponen fortalecer y unificar la protección de datos, y su libre circulación, para todas las personas dentro de la Unión Europea (UE). Esta nueva legislación otorgaba un periodo de adaptación de dos años, que finalizó en mayo de 2018.

En este artículo encontrarás toda la información referente al nuevo reglamento RGPD, qué debe hacer tu empresa para cumplir con él, si estás preparado como empresa para el nuevo reglamento y los ciberriesgos en materia de protección de datos.

¿Qué es el nuevo Reglamento General de Protección de Datos?

La normativa tiene como objetivo salvaguardar los datos personales de los ciudadanos de la Unión Europea que manejan instituciones públicas, empresas y organizaciones de todo el mundo. Así, ante el nuevo paradigma de la ciberseguridad, millones de datos -nombres, direcciones, datos personales, e incluso identificadores online (por ejemplo, una dirección IP)- gozan de una mayor protección desde el 25 de mayo de 2018.

Las pymes también deben cumplir con el reglamento de protección de datos

Tengas el tamaño que tengas y pertenezcas al sector que pertenezcas, toda compañía o institución que maneje información sobre ciudadanos de la UE estará bajo el alcance de este reglamento. Existen algunas singularidades que reconocen y tienen en cuenta los menores recursos de las PYMES, como por ejemplo, no obligándose a designar un responsable de la protección de los datos de la compañía. Aun así, el reglamento es tan riguroso que, incluso, si una PYME se encuentra dentro de estas excepciones pero es proveedor de una compañía a la que sí se le exige el mayor de los niveles de seguridad, esta PYME podría estar obligada a cumplir los mayores estándares posibles también.

Una vez más, las grandes corporaciones fueron llamadas a liderar el cambio y abrir el camino para la adaptación del tejido empresarial. En este sentido, ya son muchas de ellas las que estuvieron preparándose durante meses  para la llegada del RGPD: blindando los datos de sus clientes y exigiendo a sus proveedores y colaboradores, por contrato, cumplir con ciertos requisitos de seguridad. 

¿Qué debo hacer en mi negocio para cumplir con el RGPD? 

Ante la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, y que es obligatoria desde el 25 de mayo de 2018, las nuevas empresas lo primero que deben preguntarse es, ¿Qué datos tengo, de dónde provienen y por dónde circulan?
 
Es importante comprender qué datos personales manejo en mi negocio, cómo los conseguí, cómo se almacenan, cómo se usan y por dónde pueden circular. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, sus publicaciones en redes sociales, su información médica o la dirección IP de su ordenador.

¿Cómo deben ser los datos personales que gestionamos?

  • Transparentes y justos
  • Procesados legalmente y para un propósito específico
  • Adecuados y relevantes para el propósito para el que se están procesando
  • Precisos (eliminándolos y actualizándose con mayor regularidad)
  • No deben ser conservados más tiempo del necesario
  • Seguros

¿Se puede recoger y utilizar cualquier dato?

El GDRP hace mucho más complicado conseguir el consentimiento para procesar los datos personales de un sujeto (por ejemplo, para fines comerciales). La definición de consentimiento se ha ajustado de manera que debe ser "inequívoca" cuando se produzca. Es decir, que el individuo de manera activa y voluntaria haya marcado una casilla o seleccionado la opción de consentimiento. Además, el reglamento se aplicó con carácter retroactivo, por lo que debemos conseguir el permiso inequívoco también de los datos personales que teníamos almacenados previa entrada en vigor.
 
Así, la protección de los datos debe ser considerada e integrada en cualquier sistema o proceso desde su propia concepción, tanto en términos de forma en los que se diseñen, como en las políticas y procedimientos establecidos para dictar cómo las personas deberían usarlos.

¿Necesito designar a un Delegado de Protección de Datos (DPD)?

El nuevo reglamento obliga a las compañías a designar un delegado de protección de datos, responsable por tanto del cumplimiento del RGPD en su compañía, e independiente respecto a la dirección y al equipo que realice el procesamiento de datos. De esta manera, las responsabilidades del delegado no podrán delegarse en un integrante del equipo de sistemas de la empresa.
 
Si bien la mayoría de las empresas con menos de 250 empleados estarán exentas, existe una excepción: si su actividad principal implica monitoreo o procesamiento a “gran escala” de datos confidenciales (que incluyan datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación a sindicatos, o datos relacionados con la salud o la vida sexual), deberán designar un delegado de protección de datos.
 
Las entidades interesadas en obtener la acreditación para certificar a su DPD pueden solicitar información sobre cómo iniciar el proceso de acreditación a través de ENAC (Entidad Nacional de Acreditación).

¿Está tu negocio preparado para el Reglamento General de Protección de Datos?

El primer paso es comprender quién se verá afectado por este nuevo reglamento. El RGPD se aplicará a cualquier  empresa que ofrezca bienes o servicios que gestionen datos de personas que habiten en los estados miembros de la Unión Europea. Este aspecto es importante, ya que no estamos hablando solo de compañías con sede en estos países, sino que el reglamento afecta a cualquier empresa, esté donde esté, cuyos clientes sean residentes en esta área geográfica.
 
El compromiso de Hiscox con el tejido empresarial, ya que aseguramos a más de 300.000 profesionales y compañías en todo el mundo, nos empuja a llevar nuestra colaboración con ellos siempre un paso más allá.

¿Qué pasa si vulnero la protección de datos de mis clientes o no cumplo con el RGPD?

Lo primerp que debemos comprender es qué se define como violación de datos personales. Se trata de una brecha de seguridad que permite la destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales.
 
Ante el nuevo paradigma normativo las infracciones tendrán que ser informadas a la Agencia Española de Protección de Datos si es "probable que estén en riesgo los derechos y las libertades de las personas". Además, tendrán que notificar a las personas afectadas cuando exista un "alto riesgo" por la tipología de la información.
 
El aviso ante una infracción debe realizarse dentro de las primeras 72 horas de haberse producido.

¿Cuáles podrían ser las consecuencias?

En primer lugar, hagamos positiva esta cuestión, ¿qué conseguiré si cumplo con el GDPR?
 
Garantizamos la mayor protección de los datos personales de los clientes, protegiéndote a la vez de cualquier sanción o daño a tu reputación ganada con esfuerzo. Por tanto, cumplir con el nuevo reglamento beneficiará a tu negocio.
 
Ahora bien, qué ocurre si no te adaptas. En caso de incumplimiento, no solo si se produce un incidente, sino también si se comete un error administrativo y no se cumple con alguno de sus requisitos, podría dar lugar a una investigación regulatoria, que en sí misma requiere tiempo y esfuerzo por parte de una empresa, y nos expondrá a una multa.
 
En sus valores máximos, la multa podría llegar a suponer el 4% del volumen de negocio del último ejercicio o 20 millones de euros para las infracciones más graves, o hasta el  2% o 10 millones de euros para cuestiones de índole administrativo. Aunque sería muy sorprendente que una PYME llegase a ser multada en estos valores, la AEPD ha demostrado su voluntad de imponer sanciones financieras contra las PYME, aunque prestando siempre atención a su capacidad para continuar operando tras dicha penalización.

¿Dónde puedo obtener más información sobre el RGPD?

La Agencia Española de Protección de Datos ha abierto un espacio dedicado a este asunto donde proporciona muchas actualizaciones con las últimas novedades, así como una Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD.

Ciber Riesgos y el nuevo Reglamento Europeo de Protección de Datos

Por último,  la concepción que deberíamos de tener respecto a asegurarnos (desde un punto de vista de un cliente) en temas de ciberriesgos es como quien se pone una vacuna.

Hay que vacunarse y así el virus tendrá menos impacto. Por tanto, toda empresa debería de tener un ciberseguro porque atacarte tarde o temprano te van a atacar y si tienes seguro el impacto, obviamente, será menor, tanto para ti como para tu negocio.

¿Y cuáles son o pueden ser las consecuencias de dicho ataque?, muy dispares: disminución o pérdida de las ventas con la correspondiente disminución de los ingresos, responder ante la Agencia Española de Protección de Datos (en adelante AEPD), mala publicidad para su empresa, no poder cumplir con compromisos frente a sus proveedores, sanciones administrativas, etc..

En definitiva, los daños económicos podrían calificarse en: daño emergente (los costes extras que tiene la empresa para volver a su estatus quo como por ejemplo las horas extra improductivas), pérdida de valor de los intangibles (valor de una marca, fondo de comercio), lucro cesante (pérdida del margen bruto o margen de explotación) y daño reputacional (la opinión pública negativa, pérdida de confianza, fuga de talento, etc..)

¿De qué tipo de ataques estamos hablando? Los ataques podríamos dividirlos en ataques internos y ataques externos siendo los primeros de dos tipos, dirigidos (como por ejemplo, publicar secretos) o genéricos (ejemplo, malware, ramsonware o phising), y los segundos económicos y sociales (estos últimos buscando una repercusión mediática).

No obstante, lo aconsejable y recomendable antes de proceder con la cura es la prevención. La prevención es la clave, es una inversión a largo plazo y desde un punto de vista económico, el impacto es menos doloroso. Dado que un ciberataque no se puede evitar lo ideal para mitigar el daño, cuanto más mejor, es estar lo más preparado posible, 

¿Cómo prevenir un ciberataque en materia de protección de datos?

En primer lugar, analizando las vulnerabilidades internas y externas, parcheando dichas vulnerabilidades, con un soporte técnico de seguridad, con un sistema antisecuestro de información, definiendo un protocolo de actuación y con un servicio de ciber vigilancia por ejemplo.

Además, y desde un punto de vista cómo compañía de seguros, es positivo pues una empresa (cliente) que tiene medidas de prevención es vista con mejores ojos a la hora de suscribir su póliza de ciberseguridad, tendrá, a priori, una prima más económica, mejor franquicia y unos límites más adecuados que aquella que no disponga de medidas de prevención las cuales directamente podrían ser declinadas de cotizar.

Desde el punto de vista regulatorio y teniendo en cuenta que cada vez más los datos personales se están convirtiendo en la moneda de cambio el 4 de Mayo de 2016 se publicó el Reglamento (UE) 2016/679 del Parlamento Europeo y Del Consejo, de 27 de Abril de 2016, relativo a la protección de las persona físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el “REPD”) que deroga la Directiva 95/46/CE de aplicación desde mayo de 2018.

Entre los cambios que la aplicación de esta norma trajo a nuestro país podemos destacar tres principales:

  1. En caso de fuga o pérdida de datos personales existe la obligación por parte de la empresa de notificar tanto a la AEPD (en el caso español) como a los afectados/perjudicados. Imagínense el coste que podría llevar acarreado dicha comunicación…
  2. El importe de las sanciones. Con el REPD el importe cambia hasta 20MM de euros o el 4% del volumen total de negocio para las infracciones más graves. Actualmente está en 600.000 €.
  3. La posibilidad de que los perjudicados puedan demandar a las empresas. Hoy día es posible en la legislación española vigente pero con el REPD se posibilita el que se pueda hacer de forma colectiva si existen varios perjudicados en cualquier parte de Europa.

Seguro de datos y ciberseguridad para cumplir los requisitos del RGDP

Por nuestra parte Hiscox ofrece una solución de seguro de datos y ciberseguridad diseñada para proporcionar una respuesta rápida y experta en caso de una violación de datos personales, que puede, entre otras cosas, ayudar a una empresa a cumplir con los estrictos requisitos del GDPR. En definitiva, y para concluir, existen encuestas y estudios (como el realizado por Panda Security junto a Nielsen) que establecen que más del 91% de las PYMES españolas afirma sufrir ataques informáticos a diario. Por tanto, la necesidad de este tipo de pólizas no es ya para únicamente para la gran corporación sino que todo el negocio PYME se encuentra en el punto de mira. Y España, no lo olvidemos, es un país de PYMES.