¿Por qué las empresas deben cumplir con la normativa de protección de datos?

¿Por qué las empresas deben cumplir con la normativa de protección de datos?

Mediante este breve artículo vamos a realizar una serie de consideraciones, como empresa dedicada a prestar servicios en materia de protección de datos, respecto a la importancia que tiene para las empresas el cumplir con dicha normativa.

El motivo recurrente al que se acude por parte de la mayoría de empresas de nuestro sector para convencer al empresario es el evitar las costosas sanciones que la normativa protección de datos prevé para el caso de que se comentan infracciones y las mismas sean denunciadas ante la autoridad de control o detectadas de oficio por este organismo. 

Si bien es cierto que hay que evitar sanciones, éste debería ser el último motivo al que recurrir, pues dado que se presenta como el más necesario, hace que la empresa no detecte la importancia del cumplimiento en otros términos y se limite a realizar las tareas imprescindibles para “cumplir el expediente”; ello hace que la empresa y su personal no asimile las políticas a implementar como propias y necesarias y acaben por ser una molestia más que un factor de desarrollo de la propia entidad.

Particularmente entendemos que el principal motivo para cumplir con la referida normativa de protección de datos por parte de la empresa es la mejora de la imagen de la misma transmitiendo a clientes y terceros un imagen de profesionalidad y respecto a la privacidad.

Y ello aunque no lo parezca tiene o puede tener sus repercusiones en términos económicos. 

protección de datos

Así debemos tener en cuenta que:

  • Cuando una empresa y su personal tiene un procedimiento para el tratamiento de soportes documentales y automatizados, normalmente no existirán pérdidas de tiempo y se maximizará el tiempo de trabajo; así si nuestro personal está acostumbrado a archivar toda la documentación en los últimos minutos antes de finalizar la jornada o cada vez que utiliza determinada documentación se acostumbra a volver a archivarla en el lugar para ello indicado, ello no se nota en términos de tiempo (el tiempo en una empresa es productividad); por el contrario si se deja la documentación en gavetas, bandejas, estanterías durante varios días, cuando se vaya a proceder a su archivo el tiempo que lleve esta tarea por regla general se duplicará.    

 

  • Pero es que además, en términos de imagen, no es nunca lo mismo ver despachos, oficinas o sedes organizadas y ordenadas que un lugar donde los documentos “campan a sus anchas” sin orden ni concierto u ordenadores a los que cualquier persona puede acceder (con lo fácil que es programar que aparezca el salvapantallas cuando abandonamos el puesto de trabajo y sea necesario clave para volver a acceder); pensemos en asesorías, despachos de abogados, clínicas…, con el agravante que cualquiera podría acceder a datos que no tiene porque ver y obviamente, no me va a transmitir la confianza necesaria para que traten mis datos. 

 

  • Además de ello tengamos en cuenta el tiempo que perdemos e imagen que se transmite cuando un compañero, un directivo (“mi jefe”) o un cliente o proveedor nos solicita una factura, un expediente, un presupuesto… y no se encuentra. Es lo más parecido a una mini-crisis en la empresa; prisas, gritos, reproches… en resumen ansiedad, agobios y más estrés y ello por no hablar de la sensación que transmitimos al tercero que nos solicita esa información. Estamos más cerca de perder a ese cliente o de, en el mejor de los casos, llevarme una “bronca” (ello siempre debe tenerse como un toque de atención y una segunda oportunidad).  

Por otra parte cabe indicar que la actual normativa (al igual que la anterior) se preocupa de regular temas que las empresas ya deberíamos cumplir por defecto y que por diferentes motivos (falta de tiempo, no querer realizar la inversión necesaria, mala organización, dejar la protección de datos como última tarea…); pues bien, con la protección de datos como excusa, la ley actúa para obligarnos y la ley es clara: las empresas deben asegurar la confidencialidad, el secreto y la integridad de la información y los datos personales a la que se tuviese acceso durante la realización de las actividades y prestación de servicios.

Un ejemplo claro es la necesidad de realizar copias de seguridad de los sistemas automatizados y mantenerlos protegidos fuera de las instalaciones; o no se hace, o no se hace con la periodicidad debida, o se hacen de forma incompleta…; es típico que veamos empresas que dejan el disco duro en el que se realiza la copia siempre conectado al servidor sin ser custodiado fuera de la empresa con medidas de seguridad suficientes (p.e. en soportes cifrados). 

Pensemos que pasa cuando nuestro sistema se ve afectado por un malware que entra en el sistema al abrir un correo electrónico y como no disponemos de firewall y antivirus fiable, nos encripta la información, nos roban portátiles o smartphones, se “funden” los sistemas porque ha habido una subida de tensión y no hemos dispuesto S.A.I.´s en cada pc de sobremesa o al menos en el servidor…

En el mejor de los casos estaremos perdiendo tiempo por no tener la copia de seguridad hecha en vez de estar trabajando, facturando y cobrando (otra vez coste de oportunidad y menor productividad). En el peor de los casos supondrá el cierre de la empresa y ello dejando de lado las infracciones que estamos cometiendo (que pueden ser objeto de sanción) y la obligación que existe desde la aplicación de la nueva normativa, de comunicar las violaciones o brechas de seguridad a la autoridad de control. Por el contrario si tenemos la copia realizada, se formatea el sistema, la instalamos y a trabajar o se compran nuevos pc´s, se instala y seguimos.

Y recuerde además, que la información y los datos personales que su empresa guarda, custodia y trata es un activo más de su organización. Es un valor  de cuantía incalculable en muchos casos y que en ocasiones supone el trabajo de toda una vida profesional.

Otro ejemplo; cumplir con el deber de confidencialidad. Esto no nos suele preocupar hasta que tenemos el primer problema; si cuando un/a trabajador/a con acceso a datos (administrativos, comerciales, informáticos…) pasa a formar parte de la plantilla le informamos de cómo debe utilizar los medios que la empresa pone a su disposición, de que dichos medios (incluido el correo electrónico), de cómo debe tratar la información, del deber de confidencialidad, de que sólo puede utilizar los medios para uso laboral y no personal… y nos firma la documentación que demuestra que le hemos trasladado todo ello, y además disponemos de medidas que eviten accesos no autorizados (se administran permisos en los sistemas automatizados, se dota de usuarios y contraseñas diferentes a cada usuario/a…) y de medidas que eviten el robo de información (control de accesos a archivo, eliminación o inhabilitación de puertos USB, disposición de medios que no permitan copiar o enviar determinada información…), además de que estaremos cumpliendo con la normativa, nos aseguramos de que si un comercial intenta sacar el listado de clientes o un administrativo se quiere llevar el libro de ingresos y gastos no lo podrá hacer y si lo hace demostraremos que hemos puesto medios para evitarlo y podremos tomar acciones contra dicho/a trabajador/a o pedirle responsabilidades. Proteja sus activos (la información es poder).

También cabe recordar que la normativa vigente exige a las empresas que mantengan una actitud consciente, diligente y proactiva frente a todos los tratamientos de datos personales que lleven a cabo. 

El RGPD describe este principio de responsabilidad proactiva como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. 

A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo, documentado cada paso y decisión, ante los interesados y ante las autoridades de supervisión. Igualmente significa que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.

Así mismo cabe recordar que la implantación en las empresas de políticas de protección de datos correctas supone un proceso de mejora continua; así, si la anterior normativa establecía una serie de tareas en función del nivel de seguridad de acuerdo a la antigua clasificación de los datos (nivel básico, medio o alto), ahora es obligatorio saber qué información vamos a tratar y aplicar a cada tratamiento medidas de seguridad y ello mediante una metodología de MEJORA CONTINUA del que forman parte esencial las auditorias y las evaluaciones de impacto. 

Por tanto es importante ir realizando tareas de forma progresiva y que permitan ir mejorando la política de privacidad en la empresa, y no actuar de una sola vez y con ello entender que ya está todo hecho.

Por último y a modo de resumen, nos cabe recordar, que el coste de un solo incidente en materia de protección de datos, tanto en términos de pérdida de imagen, confianza y tiempo, como en términos de posibles sanciones, indemnizaciones y costes de defensa, es infinitamente superior al coste que supone implantar correctamente esta normativa en nuestra organización, siendo vital para ello contar con personal preparado o empresas de consultoría que nos asesoren de forma profesional y continua en esta tarea; recuerden que no existe el coste 0 y que si utiliza estas fórmulas, lo acabará pagando.  

Puedes contactar con nosotros para realizar cualquier tipo de consulta, sin compromiso https://www.ideesconsultors.es/contacto/

Leave a reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *