El impacto del RGPD en los diversos sectores de una empresa

El impacto del RGPD en los diversos sectores de una empresa

El RGPD entró en vigor en mayo del año pasado y trajo muchos cambios a las empresas. Casi un año después de su llegada, todavía existen muchas dudas sobre el impacto que este reglamento tendrá en los diversos sectores de una empresa. Por eso, preparamos un artículo que habla sobre las principales alteraciones que ocurren en cada sector de la empresa debido al RGPD!

Área de Marketing

El marketing es una de las áreas que más trabaja con datos personales, por lo que será una de las más afectadas por la llegada del RGPD. Una de las principales modificaciones se relaciona con las tarjetas de visita. Antes del RGPD esta cuestión era muy fácil de resolver: se recogían las tarjetas de visita y luego se colocaban los e-mails en un archivo de Excel, posiblemente, y después estos contactos pasaban a formar parte de su base de datos para envío de boletines e informaciones del mismo, de género. Sin embargo, debido a la obligación de existir un consentimiento explícito para el tratamiento de los datos, este método pasa a no ser posible. Por lo tanto, si desea utilizar los correos electrónicos para enviar campañas, debe recoger el consentimiento explícito de los titulares de los datos personales. Este punto puede parecer poco simpático para el Marketing, pero la verdad es que va a contribuir para que tenga una base de datos mucho más cualificada y adecuada a su negocio. Otro cambio está relacionado con el envío de campañas. Si envía mensajes con promociones a sus clientes, está obligado a enviar un vínculo de eliminación de la base de datos. El RGPD no permite que se envíen mensajes sin que se cumpla el derecho a la oposición. Y no basta que coloque un mensaje diciendo que si la persona no quiere recibir más comunicaciones por esa vía puede enviar un SMS a decirlo: es obligatorio que haya un enlace de remoción automática, para facilitar lo más posible el derecho a oposición.

Área de Recursos Humanos

Si hasta ahora el consentimiento tácito de los candidatos era suficiente para que la empresa pudiera tratar sus datos personales, con el nuevo Reglamento las empresas necesitan obtener el consentimiento explícito de los candidatos para el tratamiento de sus datos. Los candidatos que no sean reclutados deberán dar su consentimiento para el tratamiento de sus datos personales en los procesos de contratación futuros. El área de gestión de recursos humanos deberá crear un procedimiento para obtener el consentimiento de los candidatos que envíen solicitudes espontáneas, donde acepten el tratamiento y la conservación de sus currículos. Aquí se debe indicar la finalidad del tratamiento de los datos y el plazo en que el currículo se mantendrá en la base de datos de la empresa. Otra alteración será el reclutamiento activo, que sólo podrá hacerse a los individuos que pongan sus contactos en plataformas dedicadas al mundo del trabajo, como es el caso de Linkedin. En este caso, existe la voluntad del candidato en ser contactado por empresas. Sin embargo, después del primer contacto deberá haber consentimiento explícito por parte del candidato para la continuación del tratamiento de sus datos personales.

Área de TI

No debería ser necesaria una ley de protección de datos para que las empresas miren a la seguridad como una prioridad, pero la verdad es que muchas empresas no miraban seriamente al área de protección de datos. Después de la llegada de la nueva legislación, y mucho por culpa de las grandes multas por incumplimiento de la ley, las empresas pasaron a encarar la seguridad como un factor estratégico para la actuación de la empresa. El administrador de TI tiene ahora una mayor responsabilidad (si no existe DPO en la empresa) que es garantizar la seguridad total de todos los sistemas de información, para que no se pierda ningún dato. Los procesos deben ser creados o adaptados, para que los datos estén protegidos. La metodología que se debe utilizar debe ser la privacidad por diseño, para facilitar la monitorización de la comunicación de los eventos relacionados con los datos personales. La empresa debe asegurarse de que los datos altamente sensibles están encriptados o enmascarados para que no haya riesgo de ser perdidos y la empresa sea víctima de las graves multas que figuran en el nuevo reglamento. Datapeeers ofrece una variedad de técnicas sofisticadas de scrambling para proteger datos sensibles, reemplazándolos de forma irreversible por datos ficticios pero realistas.

La empresa debe crear un programa interno de comunicación, para que involucra todas las áreas en este cambio. El responsable del cumplimiento del RGPD debe informar y sensibilizar a los colaboradores sobre la privacidad de los datos y los riesgos que el incumplimiento de la ley trae para la empresa.