Recomendaciones para las PyMEs en materia de protección de datos
La trascendental importancia que, actualmente, posee la protección de datos en los mercados hace ineludible la asunción de medidas tendentes al cumplimiento estricto de la normativa en esta materia por parte de las empresas, independientemente de su tamaño, el cual, sólo se tendrá en cuenta a la hora de la adaptación de las medidas.
Los tecnicismos propios con los que se ha venido regulando la Protección de Datos provoca una necesaria e imprescindible formación que tenga como destinatario a todos los miembros de la empresa y se base en hacer inteligible, accesible y adaptable al día a día laboral en el seno de la empresa. Mayor hincapié formativo deberá llevarse a cabo con aquellos miembros que, de alguna manera, ostenten responsabilidades en la materia, o, aquellos otros, que estén especialmente expuestos, por su cargo, a riesgos o brechas de seguridad.
La naturaleza de la formación debemos considerarla de carácter continuado, introduciendo en ella las explicaciones precisas sobre las modificaciones que surjan en la materia como consecuencia de los cambios sociales y mercantiles y que tengan su reflejo en alteraciones normativas. Todo ello supondrá una actualización permanente del personal de la empresa en la materia, que redundará, de manera eficiente, en la seguridad de la empresa en la materia.
Una vez que todos los miembros se han hecho cargo de la importancia de la materia en el desarrollo diario de la empresa, tanto a nivel interno como externo, y las sanciones que acarrea su incumplimiento, conviene realizar un análisis exhaustivo de todos los procesos de empresa y detectar los flujos de datos en cada uno de ellos, el nivel de los mismos y los riesgos que implican en el tratamiento actual que se les dispensa. Ello nos dará una noción precisa sobre las áreas más frágiles y expuestas a brechas de seguridad.
Igualmente a lo anterior, y con el mismo sistema de análisis, se deberá proceder de similar forma, esta vez en el ámbito externo de la empresa, es decir, sometiendo a estudio los flujos de datos existentes tanto con proveedores como con clientes y todas aquellas entidades ajenas a la empresa con las que se mantenga algún vínculo relacional de tipo comercial o profesional.
Los anteriores análisis servirán para adquirir conciencia del volumen de datos que genera la empresa con su actividad, tanto a nivel interno como externo, y poder elaborar, en un momento posterior, las medidas de seguridad más adecuadas y precisas, con todas las garantías.
La información puesta de manifiesto por tales análisis será útil en tanto en cuanto es preciso incluir la materia que nos ocupa en la normativa interna de la empresa (en caso de no existir tal normativa será aconsejable su elaboración, momento en el que se introducirá la Protección de Datos de carácter Personal).
La inclusión de la Protección de Datos en el eje vertebrador normativo de la empresa puede lograrse a través de una mención expresa en el Código Ético de la entidad, una política exclusiva sobre la materia o protocolos de actuación que informen constantemente sobre el proceder de los miembros de la empresa observando las precauciones establecidas en Protección de Datos.
Es en ésta normativa interna donde deben quedar reflejadas las garantías sobre los derechos en la materia, y no sólo los derechos ARCO, sino igualmente los que vienen a complementarlos, recogidos en el nuevo Reglamento General. Todo ello lleva aparejado la implantación de mecanismos, cara al mercado, que permitan la práctica de los mismos en el seno de la empresa. Tales mecanismos deben pasar por dar a conocer la fórmula para ejercitar los derechos, facilitar los datos de los responsables de los ficheros y fundamentar la base legal en la que se sustenta toda actuación en la materia, además de, por supuesto, cumplir con los principios de información y consentimiento en la recogida de datos.
Una vez estructurados los procesos, determinados los miembros que los realizan y, sobre todo, detectadas las áreas más expuestas al riesgo en la materia y concretadas las posibles brechas de seguridad que, hipotética o fácticamente se pueden producir, es del todo necesario, a tenor de lo estipulado en el nuevo Reglamento General de Protección de Datos, la adopción de medidas de seguridad mitigadoras, en todo cuanto sea posible, de los riesgos existentes en la empresa con carácter previo a las mismas.
Tales medidas o controles de seguridad deberán diseñarse adaptadas a los riesgos detectados, con un seguimiento continuo por aquellos miembros que se les haya encomendado la responsabilidad del control, supervisados en todo momento por el Delegado de Protección de Datos. La garantía de efectividad de las medidas se observará en la reducción drástica de los riesgos detectados con anterioridad, en cuanto no sea posible la erradicación completa.
Resulta evidente que, además de recibir la totalidad de los miembros de la empresa la formación pertinente y adecuada en la materia, aquellos que desempeñen funciones de responsabilidad en Protección de Datos de carácter personal, deberán ser formados acordes con tales responsabilidades, garantizando, de ésta manera, su cualificación. Todo ello con independencia de la especialidad o profesionalidad que se le presume al Delegado de Protección de Datos en la materia que nos concierne.
Por último, hacer referencia a la necesidad de un seguimiento continuo que dé respuesta a las exigencias de la normativa de Protección de Datos en el día a día cambiante de la empresa, registrando nuevos flujos de datos, estableciendo los controles y medidas que se consideren oportunas, eliminando los que queden obsoletos y, en definitiva, adaptando la aplicación de la Protección de Datos de carácter Personal en la empresa a su realidad actual de cada momento.
Contenido facilitado por Contalia Ragarsa