Andrea Danti - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Evalúe los requisitos para el oficial de protección de datos de GDPR

El mandato del oficial de protección de datos de GDPR le otorga a la UE una persona de contacto para las quejas de cumplimiento, pero no todas las empresas lo necesitan. Vea cuándo se requieren los DPO y qué hacen.

El Reglamento general de protección de datos exige que muchas empresas designen un oficial de protección de datos. Si bien esta persona probablemente no gane ningún concurso de popularidad, tener a alguien a cargo de la privacidad de los datos personales, tanto para los clientes como para los empleados, puede ayudar a garantizar el cumplimiento.

Los requisitos del oficial de protección de datos (DPO), en virtud del artículo 37 del Reglamento general de protección de datos (GDPR), establecen que las autoridades públicas y entidades que realizan el monitoreo de los datos de ciudadanos de la Unión Europea (UE) a gran escala deben designar un DPO. Cada organización con más de 250 empleados que realizan negocios en la UE debe tener un DPO, así como también compañías más pequeñas que procesen grandes volúmenes de datos de usuarios de la UE, como proveedores de servicios de publicidad y marketing.

GDPR no solo protege los datos de los consumidores; los empleados con sede en la UE también están protegidos. En consecuencia, los gerentes deben asegurarse que tengan mecanismos establecidos para ayudar a los empleados a descubrir cómo su compañía maneja sus datos personales y dónde se envían para su procesamiento y almacenamiento. Esto podría ser tan simple como un servicio de nómina, o más complejo si se usan varios servicios en la nube como parte de varios procesos de recursos humanos, como capacitación, informes de ingresos o análisis de la fuerza de trabajo.

Requisitos del oficial de protección de datos del GDPR

El DPO debe trabajar con los equipos de TI y seguridad para auditar los sistemas de TI existentes e identificar dónde se almacenan los datos personales y cómo pueden verse comprometidos. Los DPO también deben supervisar los programas de capacitación y trabajar con otros para garantizar que los trabajadores comprendan los pormenores del cumplimiento del GDPR.

Un DPO debe evaluar las prácticas de recopilación y gestión de datos de la empresa, recomendar procedimientos de capacitación y cumplimiento, y documentar el proceso. La parte más desafiante es que también deben recibir quejas de personas y autoridades, por lo que tienen interés en garantizar que todos hagan su parte.

GDPR especifica los requisitos mínimos del oficial de protección de datos como:

  • Informar y asesorar a la organización y a los empleados sobre sus obligaciones de gestión de privacidad de datos;
  • Monitorear el cumplimiento, incluida la gestión de las actividades internas de protección de datos, aconsejar sobre las evaluaciones de impacto de la protección de datos, capacitar al personal y realizar auditorías internas; y
  • Ser el primer punto de contacto para las consultas de autoridades e individuales.

Diferentes tipos de DPO

Un DPO puede ser contratado para trabajar en la empresa o puede trabajar bajo contrato para varias compañías. Esto significa que las empresas más pequeñas pueden subcontratar tareas de protección de datos. Uno de los principales requisitos del oficial de protección de datos de GDPR es que el DPO mantenga cierta independencia de otros ejecutivos para que sus recomendaciones sean difíciles de anular.

Cómo las reglas de protección de datos del GDPR definen los datos personales.

Si una empresa decide contratar un DPO externo, probablemente sea una buena idea encontrar uno que ya funcione con compañías en la misma vertical. La infraestructura de privacidad y los flujos de trabajo en marketing serán diferentes a los de verticales como telecomunicaciones, finanzas o productos empaquetados. DPO Network Europe tiene un árbol de decisiones para ayudar a las empresas a encontrar un DPO que les ajuste bien.

En un centro de llamadas, por ejemplo, las preguntas de un DPO probablemente incluyan:

  • ¿Tiene usted consentimiento para todas las comunicaciones con los clientes?
  • De no ser así, ¿existe alguna razón legal por la que no se requiera? Por ejemplo, las llamadas para ciertos tipos de cobro de deudas, para empresas o cuando existe una relación previa pueden quedar fuera de los requisitos básicos.
  • ¿Cómo documenta y registra el consentimiento y lo pone a disposición?
  • ¿Cuál es el límite de tiempo para el consentimiento y cómo notificará a los agentes que ha expirado?
  • ¿Cómo marcan los agentes la información personal y cómo se aseguran de que esté marcada adecuadamente?

Crear una cultura de cumplimiento GDPR

Continuando con el ejemplo del centro de llamadas, algunas formas clave en que los líderes del centro de llamadas pueden trabajar con un DPO incluyen auditar los procesos del centro de llamadas, documentar estos procesos y documentar el enfoque de capacitación para los trabajadores que tocan los datos personales. Los líderes de los centros de llamadas también necesitan trabajar con el DPO para identificar los lugares donde los agentes o procesos se quedan cortos en términos de cumplimiento de GDPR.

Esto va a ser un proceso espinoso en la práctica porque la única forma de mejorar es realizar un seguimiento donde uno se queda corto. ¿Qué sucede cuando descubre infracciones de privacidad internamente? ¿El gerente será responsable de informar esto al DPO? Y, de ser así, ¿dará lugar a multas para la empresa o, lo que es peor, a degradaciones u otras sanciones contra el gerente o los trabajadores responsables?

Si el objetivo es cumplir con los objetivos mínimos de cumplimiento de GDPR, existe un incentivo para ocultar los problemas de la administración y el DPO. A largo plazo, esto podría provocar importantes filtraciones de datos que perjudican a los clientes y la imagen de la empresa, además de grandes multas de la UE. En este caso, los gerentes solo necesitan enfocarse en completar la sección de la documentación GDPR especificada bajo los requisitos del oficial de protección de datos.

Otro enfoque sería centrarse en crear una cultura de confianza que reconozca que la gente comete errores. Sin embargo, este enfoque requiere que la alta gerencia fomente una cultura de respeto. En este caso, los gerentes del centro de llamadas necesitarían trabajar con los agentes del centro de llamadas para alentarlos a discutir los problemas de una manera que minimice la culpa.

Este artículo se actualizó por última vez en agosto 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close