Casi un 92 % de empresas utilizan una base de datos para guardar la información de los clientes actuales o potenciales. Probablemente ya sabes que el sistema que utilizas para guardar todos los datos de los clientes debe cumplir el Reglamento General de Protección de Datos (RGPD) del que se cumple hoy su cuarto aniversario y que cambió la manera de manejar los datos de los clientes por parte de las empresas.

A finales del pasado año ESET, empresa de ciberseguridad líder en Europa con sede en la UE, publicó un informe sobre las sanciones impuestas en Europa desde la implantación en Europa del Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas) en mayo de 2018, y en el que se revelaba que las empresas españolas habían sido las que más sanciones habían recibido hasta la fecha, con un total de 273multas valoradas en más de 32 millones de euros. Nuestro país en 2021 continuó liderando el ranking de países con mayor número de sanciones impuesta por incumplimiento de la ley RGPD, con un total de 180 multas, según datos publicados en GDPR EnforcementTracker.

Por este motivo, ESET aprovecha el cuarto aniversario de la RGPD para repasar algunas de las áreas clave que puedes mejorar para proteger tus datos de un modo adecuado:

1. Dejar de pensar en el RGPD como un enemigo

Desde que el RGPD entró en vigor, los incumplimientos del reglamento han hecho mucho daño en la confianza del consumidor. Algunas empresas han vivido el susto de tener que pagar de repente un buen número de multas. Sin embargo, la confianza sigue siendo un bien muy apreciado y el RGPD no es solo otra irritante carga burocrática para tu negocio: en realidad, te ayuda a crear una relación de confianza con los clientes.Por lo tanto, en lugar de temerlo, plantéatelo como una guía que evita que tus clientes no entreguen sus datos o que abandonen tu empresa totalmente. Por ejemplo, puedes empezar por establecer portales de privacidad desde los que tus clientes puedan acceder a sus datos y dar su consentimiento para los servicios personalizados que consideran valiosos.

O puedes desafiarte a ti mismo y hacer que tu declaración de privacidad sea más legible, porque el número de personas que se leen enteras las declaraciones de privacidad sigue siendo muy bajo. Según una encuesta de 2019 de la Comisión Europea, solo un 13 % de las 27.000 personas encuestadas se había leído las declaraciones de privacidad hasta el final. La mayoría deja de leer porque esas declaraciones son demasiado largas o difíciles de entender. Todas las empresas en línea que se preocupan de su identidad digital deben proporcionar declaraciones de privacidad que sean concisas, transparentes y fácilmente comprensibles para todos los usuarios.

2. Asegúrate de que se entiende el término «información personal»

¿Suena raro o demasiado básico? Sigue habiendo una falta de comprensión de este término entre las empresas y, por este motivo, es esencial definir correctamente qué es la información personal.Hoy en día, cada uno de nosotros va dejando en Internet rastros de datos de nuestra vida personal. La información de identificación personal (PII) no solo incluye el número IBAN o de DNI, los mensajes de correo electrónico y la información de contacto. La PII también incluye cualquier información relacionada con una persona física identificable, incluidas publicaciones en redes sociales, imágenes de perfil y las direcciones IP de los dispositivos.

3. Elige un buen RPD

Si en tu empresa como actividades principales se supervisan de manera habitual y sistemática datos de los interesados o se procesan gran cantidad de categorías especiales de datos, tendrás que designar a un responsable de protección de datos (RPD). La responsabilidad principal del RPD es garantizar que todos los procesos relacionados con los datos de los clientes cumplen el RGPD, lo que incluye los datos de tu propio personal, de los proveedores o de cualquier otra persona con la que tu empresa tenga contacto.

¿Pero cómo se elige al RPD? Un RPD debe comprender las implicaciones prácticas de las regulaciones sobre la privacidad de los datos y debe saber cómo se evalúan los niveles de riesgo junto con las soluciones adecuadas que presentará a la dirección de la empresa. Por lo tanto, el RPD también debe tener aptitudes muy desarrolladas de negociación y capacidad de convicción para comunicarse con eficacia.

4. Conserva pruebas del cumplimiento

Tarde o temprano, puede que te pidan que expliques cómo tramita tu empresa los datos. ¿Realmente utilizas los datos de los clientes para los fines por los que los obtienes? Bien. Y ¿estás preparado para demostrarlo a un legislador?

Debes hacer el seguimiento de todos los puntos de contacto de datos, desde la recopilación al uso. Intenta implementar tecnologías que impidan la pérdida de datos y procesos que ayuden a tu organización tanto a conciliar la información en los distintos sistemas y procesos como a crear auditorías más resistentes que puedan seguir los rastros de datos. No olvides los datos que guardas en medios sin conexión digital. Todo esto es especialmente importante durante cualquier crisis que afecte a vuestra manera de hacer negocios, como durante la COVID-19.

5. No dejes el cumplimiento del RGPD en manos de un departamento

Dejar la responsabilidad del cumplimiento únicamente en manos de tu departamento de TI no es la solución adecuada. El RGPD afecta a muchas áreas diferentes de la empresa, y todos tus empleados deben recibir formación para que entiendan cómo el RGPD les afecta a ellos y a los clientes.

Si tienes tu propio equipo de TI, seguro que puedes gestionar alguno de los pasos clave que permitan un mejor cumplimiento del RGPD. Pero si tu equipo de TI tiene que gestionarlo todo, puede verse sobrepasado. Tu personal de TI también debe encargarse de la aplicación de revisiones y la supervisión de amenazas, además de estar preparado para responder a incidentes de seguridad. Una conducta responsable del empleado contribuirá a aligerar la carga del personal de TI.

6. Cuidado con la divulgación accidental de información sobre los clientes en Internet

La supervisión de filtraciones de datos ha revelado mucha información sorprendente. Incluso aunque los datos de los clientes suelen considerarse uno de los activos de datos más críticos, sobre todo en la asistencia médica y el sector financiero, las empresas siguen sufriendo fugas de información confidencial que contiene información de los clientes, como contratos de activación e identificaciones.

A menudo esas fugas se producen por negligencias. Además, esos datos a veces se suben a servidores públicos para compartir gratuitamente archivos y donde todo el mundo puede descargarlos. Y están las llamadas «redes profundas», en las que los datos también se pueden vender. Conforme al RGPD, tus clientes tienen derecho a saber qué datos se recopilan sobre ellos e incluso a suprimir los registros de sus datos. Asegúrate de que tomas las medidas de seguridad suficientes para mantener esos datos protegidos contra cualquier fuga de datos.