Loading...

¿Cómo implantar correctamente un proyecto de adaptación a RGPD en la empresa?

La pregunta de cómo acertar en la correcta implantación de la normativa RGPD (Reglamento Europeo de Protección de Datos) en una empresa está en el punto de mira de prácticamente todos los profesionales que nos dedicamos a la Privacidad y a la Protección de Datos.

¿Tu empresa procesa datos personales? Esa es la primera pregunta que todos deberíamos hacernos, si bien no es difícil de contestar, puesto que en el mundo en el que hoy vivimos todos procesamos datos personales, ya sean datos localización, de comportamiento o simples datos para verificar la identidad de la persona.

La segunda pregunta que nos tendríamos que hacer es, ¿dónde están esos datos?  Si tu empresa trabaja en un entorno global seguramente lo primero que tengas que hacer es definir el alcance geográfico del proyecto, identificando tus activos de información con datos personales y dónde se encuentran esos activos. Una empresa internacional ofrecerá, seguramente, sus productos y servicios por todo el mundo y utilizará información con datos personales que le permitirán desarrollar su actividad.

Un proyecto de implantación de esta normativa requiere la participación y accountability (responsabilidad proactiva) de prácticamente todos los departamentos y de diferentes perfiles de la organización, y requiere, asimismo, la creación de grupos de trabajo que analicen los activos de información. Estos equipos deben analizar el proceso desde que la empresa recopila los datos hasta el uso que hacen los empleados de los mismos y su posterior eliminación cuando ya no sea necesario mantener los datos. Dentro de los perfiles que deben participar en esos grupos de trabajo nos encontramos: técnicos, responsables de producto, abogados, responsables de cumplimiento normativo, equipo de IT, Project Managers, Business Analyst, etc., en definitiva, prácticamente todos los departamentos han de estar involucrados ya que ellos, mejor que nadie, conocen la información que tratan. Se puede contar con perfiles externos, pero es de vital importancia designar responsables internos dentro la compañía para el éxito del proyecto. Uno de esos responsables internos ha de ser el Comité de Dirección, ya que es crítico que ese órgano de gobierno de la compañía dé soporte y abandere este proyecto desde el principio, no sólo proporcionando recursos, sino también siendo los últimos responsables de su correcta implementación.

Si bien es cierto que los equipos de Compliance y Legal (Segunda línea de defensa) darán soporte a los equipos de negocio (Primera Línea de Defensa), ayudándoles a entender los requisitos regulatorios de este Reglamento Europeo y su normativa local, por ejemplo, a través de la correcta interpretación de la normativa, proporcionando guías, etc., es el propio negocio el que debe hacerse responsable de la correcta implementación del proyecto, fijando los controles apropiados al tipo de tratamiento que realicen. Posteriormente, el equipo de Auditoria Interna (Tercera línea de defensa) verificará que, tanto la primera línea de defensa como la segunda, han implementado los controles correctamente. Este modelo de gestión de riesgos es lo que se denomina en el mundo anglosajón como “Las tres líneas de defensa” o comúnmente conocido como las “Three lines of Defense-3LOD”.

La formación dirigida a todos los empleados es una pieza clave en la implantación de este proyecto regulatorio pues, para garantizar que los equipos remedien los posibles incumplimientos y pongan los controles efectivos, deben entender perfectamente el impacto de esta nueva normativa.

Realizar un correcto análisis de riesgos, identificando las áreas vulnerables que necesitan de un plan correctivo, es de suma importancia y el eje de todo el proyecto. Dedicarles tiempo a las sesiones de identificación de incumplimientos o “Gap analysis”, involucrar a la gente adecuada y realizarlas correctamente, marcará la diferencia entre un proyecto con éxito o un proyecto para cubrir el expediente. Estos “Gap analysis” se pueden realizar por tipo de activo de información, por área de negocio, por departamento, etc., dependiendo del tipo de actividad de la empresa.

Nadie dice que la implantación de un proyecto regulatorio de este calibre sea fácil, pero lo que si debemos tener todos en cuenta es que se trata de una normativa que debemos de cumplir como organización que procesa datos personales, y no sólo por el impacto de las sanciones y/o reputacional, sino porque tratamos datos de nuestros clientes, consumidores que tienen  el derecho de que sus datos estén protegidos y sean tratados conforme a la normativa.

Al final del día, ese debería ser el mayor logro de una compañía, poder afirmar que la privacidad y la protección de datos está en centro de sus actividades, lo que supondrá una ventaja competitiva y diferenciadora a la hora de prestar sus servicios, posicionándose como referente en el mercado.