Desde hace un par de meses raro es el día que no oímos hablar sobre el nuevo RGPD y los cambios que va a traer consigo la entrada en vigor el 25 de mayo de la nueva normativa europea en materia de protección de datos. Dentro del ámbito empresarial, todos nos vamos a ver afectados en mayor o menor medida, por lo que cuanto más conozcamos el reglamento aplicado a nuestros respectivos casos, mejor. Y si nuestro trabajo se desarrolla en departamentos de recursos humanos, la cosa se complica…
A partir del 25 de mayo, las empresas, a la hora de gestionar sus nóminas o de realizar cualquier otro tratamiento de datos personales, tienen responsabilidad activa. Es decir, han de poder demostrar que disponen de medidas de seguridad que garanticen la protección de los datos:
- Minimización de datos almacenados
- Seudonimización
- Cifrado de datos personales
- Limitación en el acceso a datos.
En definitiva, las organizaciones han de tener capacidad para garantizar la confidencialidad, disponibilidad, integridad y resiliencia.
Una opción que puede simplificar estas obligaciones en la realización de nóminas consiste en externalizar la gestión, pues la empresa, además, estaría externalizando en un tercero la adopción de medidas de seguridad que en otro caso tendría asumir ella. Eso sí, es fundamental seleccionar proveedores que ofrezcan garantías integrando la seguridad en el desempeño de los procesos.
Nosotros, por ejemplo, podemos hablar en primera persona de la forma en que nos ha influido el nuevo Reglamento General de Protección de Datos como proveedores de servicios de nóminas, bien en calidad de desarrolladores de software de gestión de nómina y RRHH, bien en calidad de comercializadores de servicios de outsourcing para terceros. Como repercute en todas nuestras áreas de actividad nuestro caso recoge todo tipo de casuísticas sobre protección de datos.
Debido a la naturaleza de los datos que nosotros tratamos, el RGPD amplía sensiblemente las exigencias de seguridad en cuanto al encargado del tratamiento, ya que el deber de diligencia del responsable obliga a demostrar la incorporación de medidas técnicas y organizativas apropiadas para garantizar la protección de los datos. En este sentido, nosotros, además de elaborar el registro de actividades, hemos analizado nuestros riesgos desde el punto de vista de la protección de datos, teniendo en cuenta nuestra figura tanto de responsable, como de encargado del tratamiento, ejerciendo nuestra responsabilidad activa. A partir de ahí seguimos ampliando algunas medidas de seguridad que complementan o refuerzan las que ya teníamos implantadas.
Por otro lado, también estamos revisando y actualizando los contratos de encargados del tratamiento con nuestros clientes y proveedores, y modificando procedimientos para garantizar el ejercicio de derechos ARCOP de los titulares de los datos, o la notificación de brechas de seguridad, entre otros.
Desde luego, la adaptación al RGPD para garantizar un escrupuloso cumplimiento de la normativa no es tarea fácil pues requiere de minucioso tiempo y conocimientos específicos, por lo que, sin duda, recomendamos confiar el tema en manos de profesionales en la materia. Nosotros lo hemos hecho. Llevamos meses en proceso de adaptación y eso que ya partimos de una situación ventajosa ya que disponemos de gran cantidad de medidas técnicas y organizativas implantadas desde hace años. Sin embargo, nunca podemos dejar de lado la complejidad de nuestra organización que opera en varios países, y cuenta con cinco áreas de negocio diferenciadas, todas ellas impactadas por el RGPD. Para la adaptación, nosotros disponemos de nuestra propia Oficina de Protección de Datos, integrada por perfiles técnicos del departamento de Sistemas y de Calidad, que cuenta con apoyo jurídico externo.
Ha sido un proceso laborioso desde los comienzos en que se publicó la normativa hasta culminar el 25 de mayo de 2018 con la entrada efectiva en vigor del RGPD, pero podemos afirmar que nosotros llegamos con los ‘deberes hechos’, tanto a nivel interno, como para garantizar un servicio de calidad a nuestros clientes. Y tú, ¿cómo has gestionado tu adaptación al nuevo reglamento Europeo de Protección de Datos?
