Con la llegada en 2018 de la nueva normativa sobre protección de datos personales es mucho más fácil cometer errores en su cumplimiento. Los CEO de las empresas se enfrentan al enorme reto de asegurarse de que no cometen ninguna infracción en su trabajo, no es una tarea sencilla.

Para nosotros como expertos es difícil reconocer que no todos los servicios externos que contratas te proporcionan la seguridad de cumplir la normativa al 100%. En muchos casos al comenzar a trabajar con un nuevo cliente hemos podido detectar muchas carencias, la más recurrente es dedicarle un tiempo puntual a este tema y después dejarlo abandonado. Nuestro trabajo es ayudarte a cumplirla siempre, no solo al comienzo de nuestro servicio.

Es evidente que sería complicado resumir en un post cómo puedes cumplir la normativa de protección de datos de forma efectiva, sin embargo, lo que si hemos conseguido es proporcionarte es una serie de pautas para detectar si estás cometiendo algún error.

Desde SAFE no olvidamos nuestro compromiso y nuestra ilusión en la creación de una cultura de protección de datos, si tienes preguntas estaremos encantados de ayudarte.

NO HABER NOMBRADO UN DPD

Debes saber que esto no es obligatorio para todas las empresas, pero si para algunas. Al menos debes conocer si tu organización tiene esta obligación, en caso afirmativo debes nombrar un DPD y comunicarlo a la Agencia Española de Protección de Datos.

EN TU POLÍTICA DE PRIVACIDAD DE NOMBRA LA NORMATIVA 15/1999
La Ley 15/1999 fue derogada hace unos años, si aparece en tu web, tus contratos de confidencialidad, la firma de tus emails o el texto de tus facturas es porque estos documentos no están debidamente actualizados.

EN TU WEB APARECE LA FRASE: “SI CONTINÚAS TRABAJANDO”
Hace un tiempo este texto aparecía en los textos informativos sobre el uso de cookies de casi todas las webs, sin embargo actualmente es fórmula de obtener el consentimiento del usuario ya no es válida pues exige que quien navegue por tu web realice una clara acción afirmativa para que su consentimiento se considere válido.

TUS EMPLEADOS NO HAN FIRMADO CONTRATOS DE CONFIDENCIALIDAD
Además de hacer que tus empleados y servicios externos firmen contratos de confidencialidad es necesario que formes a tus trabajadores sobre ciertas nociones básicas de protección de datos.

No sabrán cumplir la ley si desconocen cómo hacerlo, puedes facilitarles un manual de usuario, por ejemplo.

NO HAS COLOCADO CARTELES INFORMATIVOS SOBRE VIDEOVIGILANCIA
Seguramente es deformación profesional pero tengo costumbre de fijarme en los carteles donde las empresas informan sobre la existencia de cámaras de videovigilancia.

En muchos casos, los carteles se cuelgan sin rellenar y en otros muchos casos no facilitan toda la información que exige la normativa, incluso he visto carteles que nombran la Ley 15/1999 que ya ha sido derogada.

NO TIENES UNA DESTRUCTORA DE DOCUMENTOS
Las empresas que todavía no se han digitalizado al 100% deben seguir trabajando con algunos documentos en soporte papel y por tanto deben asegurarse de que la información que contienen no puede estar accesible para personas no autorizadas.

También es válida la opción de contratar un servicio externo que se encargue de este trabajo y que, por ejemplo, coloque contenedores que se retiran cuando están llenos de forma segura.

NO SABES DONDE ESTÁ TU REGISTRO DE ACTIVIDADES
Cuando dimos el salto al RGPD desapareció la obligación de inscribir los ficheros ante la Agencia Española de Protección de Datos, en realidad se sustituyó por la creación de un registro de actividades de tratamiento.

Este documento debe estar siempre a mano y se debe actualizar periódicamente, allí se anota todo lo que hace la organización para cumplir la normativa de protección de datos.

CREES QUE CON ALGUNOS DOCUMENTOS YA CUMPLES LA NORMATIVA
Cumplir la normativa de protección de datos no es mero trámite, no consiste en crear ciertos documentos y dejarlos en un cajón. Como responsable de tu organización debes asegurarte de que la normativa se cumple siempre y de que los protocolos que has creado en tu empresa para aplicarla son los correctos.

Para realizar esta tarea disponemos de una herramienta muy útil, la auditoría, que se debe realizar periódicamente y que detectará si hay alguna medida técnica u organizativa que no está funcionando correctamente.

QUE EN TU WEB NO SE PUEDAN SELECCIONAR LAS PREFERENCIAS DE USO DE COOKIES
Las cookies de la web son algo que nos llevan a todos de cabeza, son bastante importantes pues pueden recopilar bastante información. La web es la cara visible de tu empresa y estoy segura de que lo último que quieres es cometer una infracción justamente por un error de configuración de la web.

El usuario debe poder aceptar todas las cookies, denegarlas todas o tener una opción para seleccionarlas según sus preferencias. Cuidado con hacer comparaciones, si otras webs no te permiten estas tres opciones, seguramente están cometiendo una infracción.

NO REVISAR PERIÓDICAMENTE QUE CUMPLES LA NORMATIVA
Para cumplir la normativa de protección de datos es necesario un trabajo periódico, debes tener en cuenta que la escasez de sanciones por infracciones de este tipo no se traduce en que todas las empresas la están cumpliendo, es más bien consecuencia de que no se revisa si se cumple o no a menos que alguien interponga una queja.

NO HACER UNA ANÁLISIS DE RIESGOS ANTES DE DISEÑAR LAS MEDIDAS DE SEGURIDAD
Proteger los datos que utilizas para trabajar exige crear algunas medidas de seguridad, no se trata de un pack estándar de protocolos idénticos para todas las empresas. Cada organización se expone a unos riesgos diferentes y por tanto debe adaptar las medidas de seguridad a los riesgos a los que está expuesta.

Implantar medidas de seguridad estándar es como matar moscas a cañonazos, no tiene sentido.

NO TENER UN PLAN DE ACTUACIÓN PARA EVITAR CIBERATAQUES
Seguro que sabes que hoy en día es fácil recibir un ciberataque, antes solo los sufrían las grandes empresas pero esto ha cambiado. Un ciberataque es considerado una violación de seguridad y en algunos casos debe ser comunicado a la Agencia Española de Protección de datos en un plazo de 72 horas.

Es imprescindible que tu empresa esté preparada para poder detectarlo y que tenga un plan de acción para evitar graves consecuencias.

COMPRAR UNA BASE DE DATOS SIN SABER SI LA PUEDES USAR DE FORMA LEGAL
Quien dice comprar dice crear una base de datos, es fácil suponer que si los datos de contacto aparecen en páginas webs o redes sociales puedes utilizarlos para enviar información comercial, sin embargo esto no es correcto.

Debes asegurarte de que cumples todos los requisitos para poder usar estas bases de datos para enviar publicidad.

NO HACER COPIAS DE SEGURIDAD O NO HACERLAS ADECUADAMENTE
No hacer copias de seguridad de los datos de tu empresa es una locura, pero también es un gran riesgo no hacer estas copias de forma adecuada.

Es importante que las copias de respaldo se realicen con la periodicidad adecuada, se almacenen de forma segura y no sean accesibles para terceros no autorizados.

NO SABER DETECTAR VIOLACIONES DE SEGURIDAD
No solo suponen una violación de seguridad los ciberataques, también puede suponer una brecha de seguridad un fallo humano, por ejemplo. No es posible pedir a tus empleados que sepan identificar este tipo de incidentes si no han sido formados adecuadamente.

DESCONOCER QUE REALIZAS TRANSFERENCIAS INTERNACIONALES DE DATOS
Muchas empresas desconocen que, por ejemplo, al utilizar un servicio de almacenamiento de datos están realizando transferencias internacionales de datos.

Es habitual que tampoco sepan la implicaciones y responsabilidades que esto conlleva, es importante que expertos en el campo de la protección de datos revisen el flujo de datos para detectarlas y realizar las tareas necesarias para se efectúen de forma lícita.