RGPD: ¿Qué es la responsabilidad proactiva?

Entre otras novedades, el RGPD insta a las organizaciones a aplicar una responsabilidad proactiva en materia de protección de datos personales. Pero, ¿de qué manera influye la misma en los profesionales de la mediación? ¿Qué medidas deben contemplarse para materializarla? Las repasamos a través del presente post.

Tal y como hemos reflejado en otros artículos del blog de Senassur, el 25 de mayo comenzará a aplicarse el nuevo Reglamento General de Protección de Datos (RGPD) en España. Sin embargo, pese a tratarse de una norma de gran calado que afecta significativamente a empresas y usuarios, a la hora de elaborar el presente post se estimaba que más de la mitad de las pymes españolas desconocía o no estaba familiarizada con el RGPD y que más del 20% no contaba aún con los recursos necesarios para poder materializar su adaptación.

Un escenario preocupante si tenemos en cuenta que el RGPD vio la luz hace dos años y que, desde entonces, han sido numerosas las iniciativas –jornadas, charlas de formación, publicación de guías, etc.– que se han impulsado tanto desde el ámbito público como del privado con el objetivo de concienciar a los autónomos y las pymes de nuestro país sobre la importancia de cumplir con los requisitos de un texto que obliga a los profesionales y las organizaciones a ser más rigurosos en la recopilación y el uso de los datos de carácter personal. Y también a ser más proactivos a la hora de protegerlos.

Al respecto, preguntado por el blog de Senassur si cree que los autónomos y las pymes están lo suficientemente informados y concienciados sobre las novedades del RGPD, Antonio Febrero, director de AFA Solutions y colaborador de la correduría de seguros en algunas jornadas de formación, manifiesta:

“La principal preocupación que conlleva el nuevo RGPD es la relativa a la recopilación y el procesamiento de los datos personales. Y, en este sentido, los autónomos y las pymes que operan en España no están lo suficientemente concienciados ni conocen los nuevos requerimientos”.

Una opinión compartida por Antonio Martínez, director técnico de Stormshield, quien, además, advierte a los profesionales de la mediación sobre la necesidad de poner en práctica esa proactividad a la que antes hacíamos referencia:

“Más allá del conocimiento normativo, el RGPD requiere de la involucración activa de profesionales internos o externos con conocimiento de los riesgos, el impacto que el incumplimiento del reglamento puede tener en la actividad de un autónomo o una pyme y las medidas técnicas de seguridad a implementar para mitigar las amenazas”.

¿Qué implica la responsabilidad proactiva?

Para aquellos que no estén familiarizados con el RGPD, les diremos que es un texto independiente de la conocida Ley Orgánica de Protección de Datos (LOPD) de 1999. Esta última será reemplazada, presumiblemente, por una nueva norma durante 2018 que contribuirá a la aplicación del RGPD.

Al margen de ello, y a la espera de la aprobación de la nueva LOPD, los autónomos y las pymes de actividades como la mediación, estrechamente vinculadas al tratamiento de datos de carácter personal, deben conocer las novedades del RGPD, saber cómo les van a afectar o influir en su día a día y adoptar una serie de medidas técnicas y organizativas encaminadas a garantizar una seguridad adecuada al tipo de datos tratados. De lo contrario, como veremos a continuación, los profesionales de la mediación podrían verse afectados por un régimen sancionador muy riguroso.

Por ello, en el presente post hemos querido hacer especial hincapié en la denominada “responsabilidad proactiva”, esto es, en la prevención que han de considerar quienes tratan los datos, que, como hemos comentado, están obligados a adoptar medidas que les permitan cumplir con los principios, los derechos y las garantías establecidos por el RGPD. Ahora ya no basta actuar cuando se haya producido un incidente o una infracción que puede causar daños a los interesados muy difíciles de compensar o reparar. Es preciso ser proactivo adoptando una serie de medidas:

• Proteger los datos desde el diseño. Es lo que técnicamente se conoce como “Privacy by Design” y hace referencia a la necesidad de tener presente el derecho fundamental a la protección de los datos personales desde la fase inicial del desarrollo de una aplicación, servicio o producto que implique un tratamiento de los mismos.
• Proteger los datos por defecto. Al igual que el anterior, este principio se recoge en el artículo 25 del RGPD y obliga a aplicar medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del mismo.
• Implementar medidas de seguridad. De manera especial, las relativas a la seguridad de la información –a modo de recomendación, incluimos algunas al final del presente post–.
• Mantener un registro de tratamientos. En algunos apartados, este requisito podría no ser aplicable a empresas y organizaciones con menos de 250 trabajadores. Para conocerlo en detalle, es necesario leer el artículo 30 del RGPD.
• Realizar evaluaciones de impacto sobre la protección de los datos. Las mismas facilitan identificar posibles riesgos y corregirlos y suponen un excelente ejercicio de transparencia. En España, la Agencia Española de Protección de Datos (AEPD) ha elaborado la “Guía para una Evaluación de Impacto en la Protección de Datos Personales”, una herramienta muy útil para que las organizaciones puedan cumplir con las exigencias legales.
• Nombrar un Delegado de Protección de Datos interno o externo, figura de la que nos ocupamos en el artículo “¿Qué es un Delegado de Protección de Datos?”.
• Notificar las violaciones de la seguridad de los datos. Tras registrarse una brecha o incidente de seguridad, el responsable del tratamiento deberá verificar si la violación supone un riesgo para los afectados. De ser así, tendrá un plazo de 72 horas para notificárselo a la autoridad de control –en el caso de España, la AEPD– y, además, tendrá que comunicárselo a las personas afectadas.
• Promocionar códigos de conducta y esquemas de certificación. Tanto los primeros –ya contemplados en la primigenia LOPD– como las segundas ayudan a demostrar que los responsables y encargados del tratamiento de los mismos cumplen con los requisitos establecidos en el marco de autorregulación que promueve el RGPD.

Ayudas para autónomos y pymes

A simple vista, podría parecer que el RGPD supone un mayor compromiso para los autónomos y las pymes en materia de protección de datos. Pero desde la AEPD hacen notar que su aplicación no implica necesariamente, ni en todos los casos, una mayor carga, sino una forma distinta de gestionar el tratamiento. Y aconsejan realizar análisis de riesgos con el objetivo de determinar qué medidas deben aplicar y cómo hacerlo.

Con el objetivo de ayudar a los autónomos y las pymes a familiarizarse con el nuevo RGPD, la AEPD ha habilitado la herramienta “online” Facilita RGPD. Se trata de un recurso gratuito y muy útil que permite a los usuarios que tratan datos considerados de escaso riesgo, o con un riesgo más elevado de forma puntual, valorar su situación. Gracias a Facilita RGPD, entre cuyas actividades contempladas se encuentra la aseguradora, basta responder a unas sencillas preguntas para obtener los documentos mínimos que ayudan a cumplir con la nueva normativa.

Asimismo, la autoridad de control ha elaborado una hoja de ruta de adaptación al RGPD, una serie de guías –además de la citada anteriormente sobre la evaluación de impacto, también figuran otras igualmente interesantes como la “Guía práctica de Análisis de Riesgos en los tratamientos de datos personales sujetos al RGPD”– o la certificación del DPO.

Medidas de seguridad a tener en cuenta:

Por último, junto a todos estos recursos proporcionados por la AEPD, y con el fin de que los lectores del blog de Senassur puedan garantizar de una forma más efectiva la información que manejan, desde AFA Solutions nos han brindado las siguientes recomendaciones:

• Evaluar periódicamente nuestra seguridad –mediante “hacking” ético, auditorías, etc.–.
• Utilizar únicamente “software” original y actualizado.
• Establecer una política de seguridad y un plan de respuesta.
• Usar un antivirus de calidad y tenerlo al día.
• Emplear un doble factor de autenticación siempre que sea posible.
• Realizar copias de seguridad diariamente y guardarlas en ubicaciones diferentes.
• Utilizar certificados de seguridad.
• Deshabilitar la conexión wifi cuando no se utilice.
• Cifrar los datos y las comunicaciones.
• Instalar un cortafuegos perimetral con gestión unificada de amenazas (UTM).
• Instalar un “software” de prevención de pérdida de datos (DLP, por sus siglas en inglés).
• Concienciar y formar a los usuarios en materia de amenazas digitales.
• Contar con personal especializado en administración de sistemas y en seguridad.
• En caso contrario, contratar los servicios de expertos en seguridad informática y protección de datos.

Sin duda, es importante tomar nota de todo lo expuesto, ya que el RGPD endurece las multas por incumplimiento. En concreto, las brechas de seguridad pueden suponer unas sanciones de hasta 20 millones de euros o el 4% de la facturación de una organización –de las opciones, se castigaría con la cifra de mayor cuantía–. Y no sólo eso: un escándalo relacionado con la protección de datos personales también conllevaría una pérdida de reputación ante la sociedad y de confianza por parte de los clientes.

De cara a cumplir los requerimientos del RGPD, desde Senassur recomendamos a los profesionales de la mediación que contacten con la AEPD de cara a resolver cualquier tipo de duda y también que se dejen asesorar por expertos que les ayuden a poner en práctica todas las medidas de seguridad necesarias.

También puedes leer:

https://corredoresymediadores.senassur.es/senassur/la-importancia-del-compliance-la-mediacion/

https://corredoresymediadores.senassur.es/noticias-seguros/debate-mujeres-en-puestos-directivos-sector-asegurador/

https://corredoresymediadores.senassur.es/noticias-seguros/la-mujer-en-el-sector-asegurador-al-alza/