La introducción del RGPD (Reglamento General de Protección de Datos) el 25 de mayo en Europa fue solo el comienzo de una serie de cambios que afectarán a distintos sectores. No se esperaba un cambio radical: el cumplimiento del RGPD no es algo puntual y continuará teniendo un enorme impacto en las cadenas de suministro.
Resumen de contexto
El RGPD más que un gran cambio, es una evolución de la anterior ley europea de protección de datos. Se puede decir que la mayor repercusión se dará en la introducción del principio de «responsabilidad», que requiere que los responsables y encargados del tratamiento de datos demuestren que cumplen con la ley. Algo que solo se podrá sustentar a partir de obligaciones específicas y aplicando un enfoque basado en la protección de datos y los posibles riesgos. Así es como se orientará a supervisar y gestionar la protección de datos individuales, no los de su empresa.
Aspectos que se deben tener en cuenta de aquí en adelante:
La presentación de nuevos servicios, la implementación de nuevas tecnologías y la adquisición de nuevos contratos podrían introducir nuevos riesgos en la protección de datos, que habrá que reconocer y gestionar.
El cumplimiento del RGPD irá cambiando a medida que cambien las empresas, por lo que requerirá supervisión y revisión continuas. Las organizaciones necesitan estar al tanto de la legislación nacional relativa a la protección de datos, como por ejemplo la Ley de protección de datos de 2018 del Reino Unido, que coexiste con el RGPD para reforzar ciertos criterios y añadir otras obligaciones.
Claves para tener éxito:
- Tenga en cuenta las consideraciones internas (como el conflicto entre la supervisión y los datos personales del empleado que puede suponer el uso de sistemas de videovigilancia, la telemática de vehículos o los sistemas de seguimiento de personal o de trabajadores solitarios).
- Cumpla sus obligaciones contractuales hacia el comprador.
Es probable que los compradores supervisen el cumplimiento del RGPD de manera tan estricta como la autoridad británica de protección de datos (Information Commissioner Office, ICO). Normalmente se trata de grandes empresas, más susceptibles de que se les imponga una multa, cuya reputación (y puede que valor en bolsa) se vería afectada en caso de cometer una violación. Querrán gestionar los riesgos de su cadena de suministro (e internos), para asegurarse de no ser responsables de sus proveedores ni sufrir ningún revés en su reputación por causa de estos. - Conozca las obligaciones de la protección de datos.
Los contratos de los compradores incluirán obligaciones de protección de datos adicionales y los encargados del tratamiento de los mismos tendrán que firmar un acuerdo de tratamiento con los compradores. Ahí se incluirán obligaciones muy específicas relativas al cumplimiento del RGPD, al sometimiento a auditorías y, si se da el caso, a la indemnización al comprador en caso de incumplimiento. - Asegúrese de supervisar el cumplimiento de forma continua, evalúe periódicamente los riesgos para las personas y ayude a demostrar la responsabilidad.
Las auditorías pueden ayudar a evitar riesgos de cumplimiento y a mitigar el impacto de la aplicación de cualquier medida en caso de producirse una violación.
Un programa de auditorías también puede ayudar a demostrar a los compradores que la empresa aborda el cumplimiento del RGPD con seriedad. La sólida y prolongada credibilidad de Achilles para auditar cadenas de suministro hace que sea la organización idónea para validar el cumplimiento continuo de su empresa. De esta manera, ayudará a demostrar su compromiso con la responsabilidad y el cumplimiento de sus obligaciones.
Implicaciones de no hacerlo bien:
- La multa máxima que la ICO (Information Commissioner´s Office) puede imponer es de 20 millones de euros o el 4 % del volumen de negocio global (aunque esto se da en las peores situaciones; las multas elevadas suelen reservarse a las grandes empresas en los casos más graves).
- La ICO puede: investigar, auditar, sancionar con advertencias, sancionar con apercibimientos, ordenar el cumplimiento e imponer limitaciones o prohibiciones al tratamiento de datos personales.
Aunque estas acciones parezcan tener un menor impacto que las multas, podrían afectar muy negativamente a las pymes. Las investigaciones y las auditorías consumirán tiempo y recursos muy valiosos. Una prohibición temporal o indefinida del uso de datos personales para fines específicos también puede provocar pérdidas de actividad comercial. - Cualquier medida coercitiva llevada a cabo por la ICO se hará pública. Esto afectará a la reputación y la credibilidad. Los compradores están evitando trabajar con proveedores que hayan sido sometidos a medidas coercitivas de cualquier nivel en el pasado.
- Los interesados también pueden emprender acciones civiles si sufren alguna pérdida material (económica) o no material (como el sufrimiento), incluidas las acciones de tipo «colectivo». El reciente caso Morrisons fue la primera acción «colectiva» relativa a la protección de datos y sucedió antes de que entrara en vigor el RGPD. La cadena de supermercados fue considerada responsable subsidiaria de las acciones de un empleado corrupto que robó registros de los empleados para venderlos en Internet.
