Muchas pequeñas y medianas compañías no habrán oído hablar del RGPD. A otras les sonarán las siglas, aunque creerán que se trata de un nuevo y tedioso trámite administrativo que el gobierno les quiere imponer. Las menos se habrán parado a valorar qué significado tienen esas cuatro letras y qué pueden suponer para sus negocios.
El RGPD es un nuevo reglamento europeo que será de obligado cumplimiento a partir del próximo mes de mayo de 2018 en todas las compañías que trabajen con datos de usuarios o clientes, sin que importe el lugar del mundo donde se encuentren.
“Ah, bueno, eso a mí no me aplica” -pensarán algunos. Tremendo error. ¿Tampoco le aplica la LOPD? ¿Saben lo que significa? Es habitual que las PYMEs tiendan a pensar que ellos no trabajan con datos de clientes y mucho menos con datos personales. Pero es que la definición de datos personales va desde los básicos de contacto hasta fotos, direcciones IP, o información relativa a la identidad física, económica, genética, social, etc. de la persona. ¿Verdad que ya no es tan evidente decir que no se manejan datos personales?
Ante esta nueva tesitura conviene reflexionar sobre qué cosas estamos haciendo bien, qué cosas estamos haciendo mal y qué cosas ni siquiera estamos haciendo. Desde aspectos organizativos que nos digan si conocemos qué datos utilizamos y cuál es su clasificación, hasta cómo se utilizan y por quién. Se trata de elementos básicos que nos van a permitir establecer procedimientos de uso y responsabilidades en la gestión de esos datos. Y lo que es más importante, saber cómo actuar cuando tengamos algún problema con ellos a causa de un robo informático o una fuga de información. Y es que las multas, si no cumplimos con el RGPD, no nos van a dejar indiferentes: ¡hasta el 4% de toda nuestra facturación! No es una cuestión menor.
¿Y qué podemos hacer? Por lo pronto informarnos del tema. La Agencia Española de Protección de Datos ya está poniendo en marcha algunas recomendaciones que nos permitirán evaluar nuestro grado de cumplimiento. Pero, no podemos quedarnos ahí. Podemos implantar un conjunto de medidas técnicas y de procedimiento que nos ayudarán a valorar mejor nuestras responsabilidades: sistemas de control de acceso, mecanismos de autorización, cifrado de datos, sistemas de copias de seguridad, protocolos de actuación ante incidentes y amenazas a la seguridad de los datos y por supuesto sensibilización de nuestros empleados.
¿Realmente todo esto es muy costoso? La respuesta es quizá demasiado obvia: ¿Estamos dispuestos a asumir los riesgos? Nosotros diríamos que no es conveniente y que todo esto puede resultar fácilmente asumible de forma sencilla y eficiente si se plantea con seriedad. Incluso puede beneficiar a nuestro negocio. Y nuestro negocio es serio ¿verdad?