¿Tu negocio cumple con la normativa de Protección de Datos?
14 de septiembre de 2021
Todas las organizaciones, independientemente de su tamaño, manejan datos de sus proveedores, socios de negocio, clientes, trabajadores, etc. Por lo que deben proteger y tratar de manera adecuada dichos datos a tenor de la normativa actual.
La publicación de la nueva Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales en 2018 – de ahora en adelante, LOPD- ha supuesto una revolución en la mayoría de las empresas de nuestro país, en cuanto a los derechos y el tratamiento de los datos que generan.
Pese a que ya conocíamos en gran medida las novedades en materia de protección de datos gracias al Reglamento de Protección de Datos de 2016 – de ahora en adelante, RGPD- y tuvimos ese margen de dos años para ponernos al día con las nuevas exigencias del regulador europeo, lo cierto es que la mayoría de las empresas de gran parte de los sectores de actividad siguen aún hoy en día sin conocer qué deben hacer o cuales son los pilares básicos obligatorios para cumplir con dicha normativa.
La protección de datos es un derecho fundamental, por lo que las empresas tienen la obligación y responsabilidad de tratarlos con todas las garantías. Así lo indica la Agencia Española de Protección de Datos – de ahora en adelante, AEPD-, el organismo nacional en esta materia y el cual se encarga -entre otras cuestiones- de vigilar y evitar que las compañías incumplan con la LOPD, por lo que no es extraño ver titulares en las noticias de empresas multadas por incumplimientos de la LOPD. Por poner un ejemplo, recientemente la AEPD ha sancionado con una multa de 2.000€ a una entidad que no contestó el correo electrónico de una persona que les envió el currículum: la organización debería haberle contestado al solicitante de empleo diciendo los derechos que le asistían e identificando el tratamiento y fin que se daría a sus datos y por cuánto tiempo se conservarían.
En el presente artículo presentaremos los principios clave que deben cumplir las empresas en materia de privacidad y protección de datos.
Lo primero que se debe hacer es determinar los datos personales que trata nuestra organización y clasificarlos por nivel de seguridad. Por ejemplo, si tratamos datos de menores de edad o datos clínicos éstos deben contar con una mayor protección.
Al mismo tiempo, debemos informar de manera clara, sencilla y comprensible, a todos los interesados de los que vayamos a tratar sus datos personales qué datos son suceptibles de ser tratados, con qué finalidad, la legitimación o justificación para tratarlos, quién va a tratarlos, con qué medios, para qué, a quien se comunican, donde se recogen y por cuánto tiempo vamos a tratarlos.
Del mismo modo, debemos informarles de sus derechos
y como ejercitarlos. Con la normativa actual los derechos de los usuarios se han ampliado y ahora se incluyen también los derechos digitales, por lo que debemos conocer el plazo para ejercitar cada uno y sus particularidades.
Toda esta información, como hemos comentado, debe estar accesible para el interesado en todo momento, ya sea en las
políticas de privacidad
de nuestra página web, en los contratos que firmen con la empresa
o en los correos que reciba de ésta. Es decir, el usuario debe conocer, desde el inicio de la relación, toda esta información generada, que la empresa está obligada a almacenar y tratar debe darse de manera proactiva en lo concerniente al otorgamiento de dichos datos.
Por ello, lo idóneo es implementar políticas, protocolos y medidas que ayuden a mantener seguros los datos personales y a prevenir los riesgos de manera temprana antes de una eventual incidencia ( brecha de seguridad, fuga de datos, uso y acceso no autorizado o desproporcionado) respecto a los mismos.
En Compliance esto se traduce en analizar las circunstancias y forma de hacer y de actuar de cada empresa para entender y comprender su contexto – actividad, sector, objetivos, etc.- y centrarse en aquello que necesita.
No por implementar más controles o medidas conseguiremos una mayor protección y seguridad de los datos personales. Es muy común el error, al empezar a implementar controles, protocolos y procedimientos, de darnos cuenta de que no encajan dentro de nuestra operativa diaria y resultan difíciles de integrar o son demasiado genéricos para ponerlos en práctica, por lo que acabamos dejando de lado estas medidas y nos encontramos con un entramado de buenas intenciones que se convierte en “papel mojado” y que acaba guardado en un cajón sin utilizarse, condenado al olvido.
Al igual que cada empresa es distinta, los datos que tratan también son distintos y, en consecuencia, necesitan una protección y tratamiento distinto. Los riesgos varían por las circunstancias de cada empresa, por lo que el estudio de sus particularidades es esencial para una correcta gestión del riesgo en función de su actividad, histórico y estructura organizativa.
Cuando se habla de seguridad de la información de los datos personales todo el mundo piensa en la seguridad informática y, pese a que la mayoría de las empresas cuentan con softwares de antivirus instalados en sus terminales, cortafuegos e incluso algunas con copias de seguridad en servidores externos y sistemas de cifrado de la información, no es menos cierto que la seguridad de los datos también se refiere a la seguridad física, a la protección de esos datos que se encuentran en ficheros, armarios, archivos y mesas de trabajo.
Por ello, es muy importante contar con un correcto sistema de gestión documental, que custodie de manera debida la información para que no sea visible o pueda permitir el acceso a cualquier persona no autorizada. Un ejemplo muy común de esto es dejar encima del escritorio documentación de nuestros clientes, o nuestras claves de acceso y contraseñas personales, exponiéndonos cualquiera que pase por nuestra mesa -compañeros de otros departamentos, personal de limpieza, otros clientes, proveedores, etc.- vean esos datos.
Y es que la gran mayoría de las brechas de seguridad que se acontecen en el tiempo, son fruto de un incorrecto trato de los datos que a la vez en líneas generales suele ser causado or errores humanos. La desinformación y el desconocimiento son factores clave para detonar estas situaciones de peligro, por lo que es esencial formar a todo el personal de la entidad en esta sensible materia.
En la misma línea, y a raíz de la pandemia del COVID-19, han surgido nuevos riesgos en protección de datos. Uno de los que adquiere más relevancia sería la generalización del trabajo a distancia como una modalidad de trabajo normalizada. Las organizaciones deben tener en cuenta este nuevo contexto para calibrar estos riesgos adecuándolos e implementando políticas de teletrabajo que supongan un equilibrio entre los derechos del empleado y sus obligaciones en materia de privacidad y protección de datos.
Otro punto a tener en cuenta a la hora de prevenir riesgos en la privacidad de datos es conocer o acordar con nuestros proveedores de servicios -ya sea el servicio de limpieza, el de marketing, abogados, gestoría, servidor web, etc.- como deben ser tratados los datos de nuestra empresa o los de nuestros clientes o terceros. De modo que resulta altamente conveniente verificar que cumplen, al igual que nosotros, con la normativa de protección de datos y se encuentran alienados en la misma filosofía de cumplimiento.
Hasta ahora hemos comentado las medidas para prevenir y detectar posibles riesgos en materia de protección de datos, pero ¿Qué sucede si nos encontramos ante una incidencia
o brecha de seguridad?
En estos casos, la normativa indica que las empresas deben estar lo suficientemente preparadas para actuar de la forma más eficaz y rápida posible. A tales efectos, recomendamos elaborar un protocolo de actuación
ante dichas eventualidades, de fácil consulta que se incluya y amplíe nuestro Plan de Recuperación de Desastres y Plan de Continuidad del Negocio.
A modo ilustrativo, una de las obligaciones que dispone la normativa española en materia de protección de datos, es la de poner en conocimiento de la AEPD en un plazo máximo de 72 horas las brechas de seguridad o fugas de información que afecten a datos personales, por lo que la organización debe ser consciente de su obligación de comunicar los ataques a los referidos datos, cómo debe hacerlo y quién debe ponerse en contacto con la Agencia. Normalmente, suele ser el responsable o encargado del tratamiento, o en caso de haberlo, el CISO (de sus siglas en inglés, Chief Information Security Officer) o el director de seguridad de la información de la compañía.
En conclusión, tener en nuestra entidad una pauta a seguir en relación a todo lo expuesto puede ayudar a prevenir, mitigar o solventar de manera más eficaz y eficiente el impacto o riesgo y su probabilidad de ocurrencia.
Finalmente, debemos tener claro que la protección de los datos personales no es una tarea estática, sino que debe revisarse y mejorarse de manera periódica -normalmente anual-, evaluando si se han implementado las óptimas medidas para evitar riesgos, o si existen nuevas circunstancias que modifiquen el contexto de nuestra empresa que requieran volver a evaluar nuestro plan de prevención de riesgos en materia de privacidad.
La aprobación del Real Decreto 1101/2024, de 29 de octubre, por el que se establece el Estatuto de la Autoridad Independiente de Protección del Informante (A.A.I.), marca un cambio trascendental en la protección de los derechos de los denunciantes en España. Este nuevo marco normativo fortalece los sistemas de compliance al ofrecer un respaldo jurídico sólido y una infraestructura de apoyo para quienes denuncian irregularidades en empresas y entidades públicas.
Con la aprobación del Real Decreto 1026/2024 y la Ley 4/202 3 , las empresas con más de 50 trabajadores están obligadas a implementar medidas específicas para garantizar la igualdad real y efectiva de las personas LGTBI en el entorno laboral. Estas medidas incluyen la creación de un plan LGTBI y la adopción de protocolos para prevenir el acoso y la violencia. Cumplir con estas obligaciones no solo es un requisito legal, sino una oportunidad para promover un ambiente de trabajo inclusivo, seguro y respetuoso con la diversidad.
Nos complace informar sobre nuestra participación en el Grupo de Trabajo Pre-Sesional del Comité de los Derechos del Niño (CRC), que tuvo lugar durante la semana del 17 de septiembre de 2024 en Ginebra. Este encuentro reunió representantes de varias organizaciones de la sociedad civil y niños y niñas previamente invitados, con el objetivo de colaborar directamente con el Comité en la preparación de la revisión de la situación de los derechos de la infancia en los Estados que serán evaluados, incluida España
En un mundo cada vez más globalizado y consciente de la justicia social, la igualdad de género en el lugar de trabajo no es solo una cuestión de ética, sino también de éxito económico y organizacional. A medida que las empresas buscan atraer y retener al mejor talento, la creación de un entorno de trabajo inclusivo y equitativo se ha convertido en una prioridad. Este artículo explorará la importancia de la igualdad de género en el lugar de trabajo, los beneficios que aporta y cómo las empresas pueden implementar prácticas efectivas para promoverla .
La gestión del fraude es una preocupación crucial para cualquier organización, independientemente de su tamaño, sector o ubicación geográfica. Las implicaciones financieras, legales y reputacionales de no gestionar adecuadamente el fraude pueden ser devastadoras. En este contexto, la norma ISO 37003 surge como una guía esencial para el establecimiento, desarrollo, implementación, evaluación, mantenimiento y mejora de un sistema de gestión del fraude efectivo y eficiente.
El pasado 24 de abril, el Parlamento Europeo aprobó la Directiva sobre diligencia debida de las empresas en materia de sostenibilidad (de ahora en adelante, CSDDD ), marcando un hito en la regulación de las prácticas empresariales en la Unión Europea y que refuerza el compromiso europeo con la sostenibilidad empresarial y los derechos humanos, consolidando su posición como líder global en este ámbito.
La carta a la ciudadanía que escribió Pedro Sánchez el pasado miércoles 24 de abril, ha sido un antes y un después para todos los ciudadanos. La incertidumbre era la protagonista que iba a abarcar esos cinco días de reflexión hasta el lunes 29 de abril, donde se sabría si seguía en el cargo o, por el contrario, dimitirá.
En el cambiante panorama empresarial de hoy, la seguridad y la salud laboral se han convertido en prioridades ineludibles. La gestión eficaz de estos aspectos no solo protege a los empleados, sino que también impulsa la productividad, la eficiencia y la reputación de una empresa. En este sentido, la ISO 45001 surge como un faro en este terreno, ofreciendo un marco de referencia globalmente reconocido para la gestión de la seguridad y salud en el trabajo.
Las empresas cada vez van haciendo más hincapié en apostar por la diversidad y la igualdad a la hora de buscar nuevos talentos, pues estos perfiles son el punto principal para proponer nuevos cambios e innovaciones que den gran valor a las empresas. En el artículo de hoy contamos con María José Aradilla , technical talent acquisition specialist, que nos explica la importancia que tiene el liderazgo como puente hacia la integridad de todas aquellas personas que buscan nuevas oportunidades.
En la industria de la construcción, donde los proyectos son grandes y complejos, la implementación de un sólido Sistema de Gestión de Compliance Penal (de ahora en adelante, SGCP) es fundamental para mitigar los riesgos penales, especialmente los de soborno. El sector de la construcción está plagado de desafíos en términos de cumplimiento normativo y ético, y la adopción proactiva de medidas de cumplimiento puede marcar la diferencia entre el éxito y el fracaso de una empresa. En este artículo, exploraremos la importancia de contar con un SGCP en el sector de la construcción, sus beneficios y los riesgos penales asociados.
Correo electrónico
info@ethikosandcompliance.com
Teléfono
608.598.890