Con la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) se produce una profunda modificación de los estándares en materia de privacidad. Ahora, se exigirá a las organizaciones públicas y privadas un mayor compromiso de conocimiento en la gestión de los datos y su necesaria integración en sus protocolos de cumplimiento normativo. Cabe destacar que se deberá prestar una mayor atención a aquellos sectores de actividad en los que se traten datos especialmente protegidos, como es el caso de los servicios de prevención ajenos. El incumplimiento de la nueva normativa podría llegar a acarrear sanciones de hasta 20 millones de euros o del 4% del volumen total global del negocio de la compañía, con el evidente y grave perjuicio reputacional que también supondría para la organización.
Servicios de Prevención Ajenos presenta las 10 claves básicas del nuevo reglamento, a tener en cuenta no solo por las organizaciones y actividades preventivas, sino que también por todos los sectores productivos y económicos en general.
- Principio de Responsabilidad Activa. Con el nuevo marco regulatorio se produce un cambio de paradigma, pasando de una regulación y cumplimiento reactivos a un principio proactivo.
- Protección y salvaguarda de datos personales. Resulta indispensable realizar un balance entre los legítimos intereses empresariales en el sector de actividad en el que se desarrollan los servicios preventivos y el nivel de protección y salvaguarda de los datos personales tratados. De este modo, es especialmente necesario iniciar procesos de adaptación y cumplimiento a la nueva norma en sectores tan sensibles como, por ejemplo, el sanitario.
- Mejora reputacional. El cumplimiento y adaptación al RGPD posibilita una mejora reputacional de la organización, clave a la hora de posicionarse en el mercado. Además, permite evitar o reducir la imposición de sanciones económicas y/o el descrédito del sector.
- Principio de ética digital. El nuevo reglamento conllevará un profundo cambio y una modificación tangencial de las cláusulas y avisos legales con respecto a los deberes de información y consentimiento claves para la legitimación de su recogida. Asimismo, supondrá la instauración de mecanismos reforzados en la recogida de datos especialmente protegidos, como lo son los de salud. De este modo, el principio de ética digital se basará en la transparencia y comunicación previa al titular del dato.
- Principio de “Privacy by design”. Los nuevos sistemas y procesos de tratamiento y almacenamiento de datos (Big Data, Cloud Computing o Inteligencia Artificial) deberán adecuarse y someterse a los parámetros legales del nuevo reglamento. Este hecho implica, por tanto, una especial atención al desarrollo a medida de productos de software adecuados que deberán estar articulados bajo el principio de “Privacy by Design”. Así, será necesario presentar una especial cautela en la implementación de nuevas herramientas y aplicaciones tecnológicas que impliquen el tratamiento masivo de datos personales, sobre todo en lo referente a los especialmente protegidos.
- Adaptación y supervisión en los procesos de transformación digital. Los servicios de prevención deberán tener en cuenta que la utilización no reglada o indebida de los datos digitales y el mal uso de la tecnología podrá acarrear un incumplimiento de la nueva normativa, con los estragos reputacionales que esta actitud puede conllevar para la organización, además. Por este motivo, se hace necesaria una adaptación y supervisión en los procesos, presentando especial cautela a la cuestión de la privacidad.
- Cultura de cumplimiento. Resulta fundamental implementar en la organización una cultura de cumplimiento en materia de datos (“Data compliance”) y su integración en los sistemas generales de “compliance” de la empresa. Esta cultura implica también una labor de sensibilización y concienciación de la plantilla, considerándola uno de los pilares de este proceso de implementación. También hay que prestar una especial atención a las bases sobre las que se construye la seguridad y confidencialidad de la información tratada por los profesionales de la propia organización.
- Supervisión de la cadena de valor. Es necesario llevar a cabo una supervisión y control exhaustivo de la cadena de valor del dato personal recabado. Para ello también se debe aportar la necesaria seguridad jurídica que evite que esta cadena de valor pueda quedar comprometida, con los riesgos que podría irrogar.
- Políticas de contratación y subcontratación externas. El outsourcing en el sector de actividad de las empresas de servicios de prevención requiere la adopción e implementación de cuadros de mandos en relación con estas políticas en materia de protección de datos. En este sentido, es recomendable prestar una especial atención al tratamiento (Big Data), alojamiento (Cloud), jurisdicción y securización de la información para evitar brechas de seguridad.
- Cualificación y certificación. Disponer de las habilidades y certificaciones necesarias para la correcta gestión de los datos es indispensable para la contratación con administraciones públicas. Además, mejora la imagen reputacional de la organización en el cumplimiento de las obligaciones formales.