Cinco requisitos ineludibles para cumplir con nueva ley de privacidad

104

A punto de entrar el GDPR en vigor, la tecnológica Sizmek, además de estar preparada para garantizar a todos sus clientes el cumplimiento del reglamento, ha expuesto en un documento las claves para que las empresas puedan aplicar la nueva ley de privacidad. Se trata de cinco recomendaciones prioritarias realizadas por Ari Levenfeld, jefe de privacidad de la compañía y uno de los artífices del reglamento.

Las empresas que incumplan el reglamento se expondrán a sanciones millonarias, que podrán alcanzar hasta el 20 por ciento de la facturación global anual de la compañía. ¿Cuáles son los requisitos imprescindibles de las empresas para entrar con los deberes “bien hechos” en esta nueva era legal que se abre a partir de ahora para la privacidad en Europa?. Estas son las cinco claves para que las compañías cumplan con el GDPR: 

1. Determinar una base legal para el procesado de datosSi recopila y procesa información personal de los consumidores, necesita una “base legal” en la que ampararse, y debe documentarla por escrito, explica el jefe de privacidad de Sizmek. De las seis bases legales a las que se puede recurrir en el caso del GDPR, el interés legítimo y el consentimiento son las más relevantes para la publicidad digital. Con la primera, el fundamento del uso de los datos para intereses propios de la empresa está en equilibrio con los derechos del dueño de los mismos. La segunda es el permiso otorgado libremente, específico e inequívoco del usuario a la compañía para que use su información personal.

2. Identifique al controlador y al procesador de datosPara cumplir con el GDPR se debe identificar quién es el controlador de datos, por un lado, y quién es el que procesa los datos sensibles del usuario en la empresa, por otro. Ambos pueden interactuar, pero sus roles son muy específicos. El controlador determina el propósito y los medios por los cuales se procesan los datos personales, mientras que el “procesador de datos” es, en última instancia, el responsable de garantizar la privacidad de la información sensible que se obtenga, registre o posteriormente se utilice. 

3. Tener capacidad de respuesta a las solicitudes de derechosSegún el GDPR, los interesados tienen el derecho de acceso, revisión, corrección y eliminación de cualquiera de los datos personales recopilados y procesados por un controlador de datos. Los usuarios también tienen derecho a revocar el consentimiento dado previamente para recopilar o procesar sus datos. La empresa que quiera cumplir el reglamento debería disponer de procedimientos para responder rápida y adecuadamente a estas solicitudes de los interesados en caso de petición.

4. Asignar un Delegado de Protección de datos (DPO). Las organizaciones que procesan datos para una autoridad pública o las que desarrollan actividades que implican procesado regular y sistemático de información, o de datos confidenciales a gran escala, deben designar a un Delegado de Protección de Datos (DPO). Se trata de una figura que debe tener experiencia en el negocio, en normativa de privacidad y gobierno de datos, y tiene que saber interactuar con los reguladores en nombre de la empresa. El DPO es responsable de los problemas de protección de datos relacionados con su negocio en caso de que surjan. 

5. Asegurarse de que los datos están seguros e incorporar la privacidad desde el diseñoEl GDPR trata de adoptar medidas que garanticen tanto la privacidad como la seguridad de los datos. Por un lado, debe asegurarse de controlar quién tiene acceso a los datos, tanto dentro como fuera de su empresa. También es aconsejable comprobar los sistemas y asegurarse de que los procesos de seguridad implementados son efectivos y no pueden ser sorteados por ciberdelincuentes u otros interesados en acceder de forma ilegal a la información. Por otra parte, se tiene que garantizar la “privacidad por diseño” en los productos y servicios. “Asegurarse de que la privacidad es esencial para cualquier lanzamiento de un proyecto o producto, otorga mayor garantía de que su organización cumplirá con el nuevo reglamento europeo”, concluye Levenfeld.