CITAS
El talento se desarrolla en lugares tranquilos, el carácter en el tumultuoso curso de la vida. - Goethe

RGPD: ¿Por dónde empezar?

A dos meses para que comience la aplicación del Reglamento General de Protección de Datos (RGPD) – el 25 de mayo de 2018 para ser exactos, muchas empresas (dentro y fuera de España) no están todavía preparadas o ni siquiera han empezado el proceso. Pasó la navidad, y con ella la resaca de las fiestas, y el despertar es duro: ¿ahora qué hacemos? Por desgracia no hay una solución “fácil”, no queda más remedio darse prisa y comenzar ya. Para ello, explicamos tres pasos básicos que deberán implementar las empresas que aún no hayan hecho los preparativos necesarios para afrontar el nuevo marco jurídico.

No hay que olvidar que los requisitos del RGPD fomentan una buena higiene de datos y mejores prácticas para su gestión, y ayudan a limitar o disminuir el riesgo relacionado con los datos, ciertamente en el caso de un ciberataque pero también al fomentar la optimización y, por tanto, el valor de los datos. Su objetivo es proteger a los ciudadanos de la UE cuando se procesan sus datos personales, manteniéndolos seguros y evitando un uso indebido.

En las empresas que procesan miles de puntos de datos, cumplir con los requisitos requiere una preparación meticulosa. Puede ser una perspectiva bastante desalentadora, pero nunca es demasiado tarde para comenzar, y recomendamos abordar el cumplimiento de RGPD para los datos de sus empleados en tres sencillos pasos. Ah, y seguramente su empresa no estará empezando de cero, ya que muchas empresas ya implementan procesos de administración de datos en cumplimiento con la anterior LOPD.

Paso 1: protección de datos desde el diseño

En el concepto de privacidad por diseño se trata de incluir los requisitos de protección de datos en el diseño de sistemas y procesos. Para cumplir con el RGPD, es más fácil crear un nuevo proceso o sistema diseñado con los requisitos en mente, que “arreglarlo” más adelante.

Mi consejo es comenzar realizando una cartografía de los datos que se tienen, no con el proceso, y documentar la justificación que motiva esos puntos de datos. Diferentes territorios requerirán diferentes puntos de datos, por lo que es importante entender los elementos culturales como parte de este proceso, ya que por ejemplo, en Alemania, si un empleado indica ser miembro de una comunidad religiosa que recauda impuestos, el empleador debe retenerlos de sus ingresos.

Acto seguido, revise los procesos que se relacionan con los datos que realmente necesita, e incorpore los requisitos de privacidad y los derechos de usuario dentro de esos procesos.

Esto se verá facilitado al tener una visión clara de todos sus datos. Es más eficiente construir y diseñar procesos en torno a los datos que necesita, que modificar procesos antiguos para adaptarlos a las nuevas regulaciones. Esta es también una oportunidad perfecta para una buena limpieza y obtendrá la ventaja adicional de demostrar el cumplimiento del principio de minimización de datos.

Paso 2: análisis de impacto de privacidad

La privacidad por diseño podría suponer una gran cantidad de trabajo. ¿Cómo priorizar? Empiece por llevar a cabo una auditoría de los procesos y los datos que recopila y el “tratamiento” de estos datos, luego realice un análisis de brechas e identifique dónde se encuentra el mayor riesgo. Esto dependerá en parte de qué datos son más sensibles: serán tales aquellos que revelan el estado de salud, la religión, orientación sexual y similares. Por ejemplo, si sufriera una violación de datos, ¿qué conjunto de datos generaría las peores consecuencias? ¿Historial de aprendizaje o datos de remuneración? Este sería un buen punto de partida.

Además, revise cualquier información automáticamente recopilada, ya que la empresa tiene la misma responsabilidad por las acciones resultantes tanto los de procesos automatizados como manuales.

Una auditoría ayudará a identificar sus puntos débiles y áreas de riesgo, pero todavía no hemos terminado. También es importante seguir realizando estas auditorías de forma periódica para garantizar que se mantenga la calidad (y el cumplimiento) de los procesos, así como para adaptarlos a cualquier cambio legal posterior.

Paso 3: establecer la responsabilidad

El tercer paso trata de cerrar el círculo. Las empresas deben ofrecer una transparencia total, incluyendo dónde se almacenan los datos de los empleados y cómo se procesan, dejando claro quién puede acceder a qué datos. Una vez que los conjuntos de datos estén limpios y los procesos hayan sido revisados ​​y adaptados, debe documentar y demostrar cómo cumple con los requisitos. Esto se conoce como principio de responsabilidad, y esencialmente se traduce a la documentación de los conjuntos de datos (y la forma en que cumplen con el principio de minimización de datos) y la documentación de sus procesos (y cómo implementan los requisitos de privacidad y permiten a los usuarios ejercer sus derechos).

Las etapas anteriores son generales para cualquier empresa o entidad y todos los tipos de datos, de la misma manera que lo es el RGPD, el cual establece principios generales aplicables para cualquier tipo de datos.

Sin embargo, estos principios van a traducirse de manera diferente según el tipo de datos: marketing, salud, recursos humanos, etc…De ahí la pregunta siguiente:

¿Qué significa esto para los Recursos Humanos?

Hasta ahora, el principal enfoque de las empresas ha sido asegurar que se protejan los datos de los clientes, pero no pueden permitirse olvidar que las mismas reglas también se aplicarán a los datos de los empleados, y eso incluye candidatos y empleados potenciales.

Cuando se aplique el RGPD, las empresas podrán recopilar datos personales de los solicitantes, pero solo los necesarios para el proceso de selección, lo cual tendrá un impacto importante en  este proceso y en el de evaluaciones. Para cualquier otro dato, las compañías tendrán que solicitar permiso explícito y cualquier información provista solo puede ser utilizada para el propósito expreso que se solicitó. Si la persona no es contratada, toda la información deberá ser eliminada. Del mismo modo, todos los datos recopilados y almacenados en los empleados actuales deben estar justificados y ser relevantes para la gestión o el papel del empleado. Las empresas deben contar con su consentimiento para cualquier información que requiera su permiso (que los empleados pueden retirar en cualquier momento) y si un empleado deja la empresa, por cualquier razón, sus datos personales también deben ser eliminados.

Un paso clave para adecuar la actividad de Recursos Humanos a los requisitos de la norma será definir qué procesos se llevan a cabo qué datos se utilizan en ellos. ¿Son procesos generales o independientes?

Paso tres (y medio): ¿Quién se encarga de todo esto en Recursos Humanos?

Muchas empresas están designando a Delegados de Protección de Datos que deben trabajar estrechamente con todos los departamentos, pero ahora estamos viendo un nuevo rol en los departamentos de Recursos Humanos. A los Recursos Humanos les interesa contar con un especialista en privacidad de datos “interno”, que trabaje estrechamente con el Delegado de Protección de Datos para garantizar el cumplimiento. La privacidad de los datos requiere conocimiento legal, conocimiento técnico y conocimiento del negocio, y un experto de este tipo proporcionaría la experiencia requerida tanto en torno a las leyes locales como a los procesos de recursos humanos de la compañía.

El RGPD no es una regulación fácil y es importante que las empresas –y los Recursos Humanos- se preparen ahora, si no lo han hecho ya, y que sigan adaptándose también pasada la fecha de aplicación de la norma. Incluso con estos tres pasos en mente, puede ser intimidante comenzar el proceso, pero realmente creo que el esfuerzo vale la pena: ofrece mejor calidad de los datos, procesos más eficientes, menos riesgo de multas y sanciones, y mejor motivación de la marca del empleador y de los empleados.

La conformidad es un proceso, y la protección de datos una cultura: una vez implantada, es una herramienta muy poderosa y efectiva.

Por José Rodríguez, experto en protección de datos de Cornerstone OnDemand

Todavía no hay comentarios en "RGPD: ¿Por dónde empezar?"

    Escribir un comentario

    Su email no será publicado