El RGPD es una normativa necesaria para la protección de los datos por parte de las empresas. Aun así, muchas compañías, sobre todo las más pequeñas, no le dan la importancia que merece. Conocer las razones por las que se puso en marcha este reglamento, sus ventajas y las consecuencias de no tenerlo bien gestionado es fundamental.
En abril de 2021, una empresa tecnológica en España sufrió un ciberataque de ransomware que filtró y expuso 100 GB de información confidencial de más de 13 millones de personas. Datos comprometidos que incluían los nombres completos y DNI, sus direcciones postales y electrónicas, la información bancaria y los códigos IMEI de dispositivos móviles. Estos datos terminaron en la Deepweb. La Agencia Española de Protección de Datos, tras revisar la situación, concluyó que en el éxito del ataque influyeron los fallos en las medidas de seguridad adoptadas por la empresa y consideró que era necesario investigar las posibles vulnerabilidades en la normativa de protección de datos. Una investigación que terminó con una multa histórica de 6,5 millones de euros.
El Reglamento de Protección de Datos (RGPD, también conocido por sus siglas en inglés, GDPR) lleva vigente en España desde mayo de 2018, pero todavía hay compañías que lo consideran un mal menor, algo a lo que no dar la importancia que se merece cuando los datos que manejan son ahora el principal de sus activos. Es más, muchas de estas organizaciones, sobre todo las más pequeñas, desdeñan tanto esta normativa que se atreven a copiar los avisos legales de otras páginas o utilizar los párrafos que vienen por defecto en las plantillas de diseño web. Una acción que no sólo puede traer consecuencias económicas, también de reputación y confianza de tus clientes.
Sanciones por incumplimiento del RGPD
Multas, apercibimientos, prohibiciones temporales o definitivas son algunas de las sanciones a las que se enfrentan las organizaciones cuando incumplen o desprecian el Reglamento de Protección de Datos. Sanciones que pueden ir desde los 40.000 euros cuando son leves, a los 20 millones de euros o el 4% de la facturación anual aplicando la cuantía que sea mayor cuando se consideran muy graves.
La Agencia Española de Protección de Datos es la encargada de imponer las multas por infringir el RGPD, que deben ser efectivas, proporcionadas y disuasorias, y que pueden deberse, por ejemplo, al trato de datos de menores sin su consentimiento, a no adoptar las medidas técnicas ni organizativas necesarias para garantizar la seguridad de la información o a encargar el tratamiento de los datos a un tercero sin el debido contrato.
De ahí que sea esencial que las empresas sean especialmente escrupulosas en la elaboración de estos avisos legales. Para los que que deben tener en cuenta los riesgos de seguridad y privacidad de los datos que la compañía maneje; la designación de un responsable o Delegado de Protección de Datos (DPD); la notificación a los ciudadanos de cómo se usa su información y obtener su consentimiento; y la implementación de las medidas de seguridad oportunas como encriptación, autenticación y firewalls. Además, y según el RGPD, las empresas tienen que llevar un registro de las actividades de tratamiento de datos. Así como asegurarse de que sus colaboradores también cumplan con la normativa. Deben respetar los derechos de los usuarios, auditar los datos, actualizar los formularios periódicamente e implementar un plan de respuesta a incidentes de seguridad.
Por qué hay que cumplir con el RGPD
Evitar las sanciones derivadas de su incumplimiento no debería ser la única razón por la que respetar y cumplir el Reglamento de Protección de Datos. Esta normativa, nació de la necesidad de preservar la información de los clientes y empleados de las empresas que operan en la Unión Europea. Y establece un marco legal claro para que las empresas protejan los datos de los ciudadanos de la UE, mejoren su reputación y la confianza de sus usuarios. Además, previene riesgos de brechas de seguridad; y responda, en definitiva, a los desafíos actuales de las empresas.
Esta normativa, heredera de la antigua LOPD que se adoptó en 1995 cuando Internet aún estaba en pañales, es más exigente que su predecesora. Precisamente porque ahora es vital contar con un marco legal claro y coherente en esta materia, que se utilice, también, como hoja de ruta. Por eso, este reglamento también requiere de la empresa compromiso y dedicación que se personifican en el Delegado de Protección de Datos. Esta figura tan relevante es quien decide cómo y por qué se usan los datos. Puede ser jurídica o física, determina los fines y medios del tratamiento, y es responsable de garantizar la confidencialidad, integridad y disponibilidad de la información. En los casos de empresas que no cuenten o no puedan fichar a alguien así deberán disponer de un servicio externo para tal fin.