Read the rest of the post ' Premio Estrella de Oro de ADECOSE: Un Reconocimiento al Compromiso y la Calidad '
Una serie de sencillos pasos y recomendaciones para adaptar tu negocio
La figura del controlador y del procesador: responsabilidades
El nuevo Reglamento General de Protección de Datos (RGPD) define dos tipos de entidades que pueden operar con datos personales. Por un lado, está el denominado controlador de datos, quien posee los datos, y determina sus fines, uso y circulación. Por otro lado, el procesador, quien puede procesar datos personales en nombre del controlador.
Así, además de adaptar nuestro negocio al RGPD debemos incluir también en la estrategia de ciberseguridad a aquellos proveedores que procesen datos personales en nuestro nombre o coordinados con nosotros, para asegurarnos de que existe la protección adecuada y exigida en el nuevo marco reglamentario. En este caso, podemos solicitarles que completen un formulario para evaluar qué medidas y estrategia tienen implementadas, y, a partir de ahí, poder revisarlas para ver si son suficientes o realizar una auditoría físicamente en el lugar.
Evidentemente, se pude producir el caso inverso, que seamos nosotros los proveedores que procesan datos personales para otras compañías. En este escenario, será a nosotros a los que se les apliquen estos criterios. Estar preparado nos ayudará ante posibles negociaciones de nuevos contratos y nos dará una ventaja competitiva.
Derecho de acceso a los datos
Con el RGPD las personas amplían sus derechos en materia de protección. Así, las empresas deben asegurarse de que existen procesos y plantillas adecuadas para que cualquier sujeto, que quiera ejercer su derecho, sea respondido en un plazo máximo de un mes.
Algunos de estos derechos implican el fácil acceso a todos sus datos personales almacenados y derecho a rectificación, y negar el procesamiento de sus datos o incluso solicitar su eliminación por completo, en ciertas circunstancias. Además, tendrán derecho a notificación si los datos se ven comprometidos, y se exigirán requisitos de seguridad muy estrictos para que las compañías puedan circular estos datos fuera de la UE.
¿Sabemos qué constituye una violación de datos personales?
Debemos asegurarnos de que todas las personas que forman parte de nuestra compañía comprendan qué constituye una violación de datos, así como establecer un proceso para localizar eslabones o procesos internos más débiles. En paralelo a esta labor de capacitación, deberíamos desarrollar y fomentar una cultura en la que los empleados se sientan cómodos y alerten a la compañía cuando cometan un error inocente, la causa principal de la mayoría de las violaciones de datos.
Revisar nuestro aviso de privacidad
Ante los nuevos requisitos del RGPD es probable que debamos extendernos en nuestra política de privacidad. Tendremos que entrar en más detalles, y además deberá ser comprensible y accesible. El contenido variará si los datos personales recogidos son para nuestro uso o los estamos almacenando para un tercero. Además, el aviso de privacidad deberá ser conciso, transparente, inteligible y de fácil acceso, y deberá estar escrito en un lenguaje claro y sencillo.
Permaneced atentos a nuestro blog, continuaremos con nuestra serie dedicada al RGPD resolviendo estas dos dudas: ¿qué pasa si vulnero la protección de datos de mis clientes con el nuevo reglamento en funcionamiento?, y ¿cuáles podrían ser las consecuencias de no adaptar mi negocio?
¿Tienes un negocio y necesitas ayuda para adaptarlo al nuevo RGPD que entrará en vigor el próximo 25 de mayo? Tienes a tu disposición a nuestro equipo experto en ciberseguridad y la solución para empresas que ha desarrollado para el mercado español: Hiscox Cyber Clear