Cómo preparar su organización para el GDPR: 6 consejos prácticos que funcionan

El 25 de mayo de 2018 — el día en que el GDPR entra oficialmente en vigor — se acerca constantemente. Uno de los reglamentos más estrictos hasta la fecha, el GDPR tiene como objetivo garantizar la recopilación, el procesamiento y el almacenamiento seguros y legales de los datos personales de los ciudadanos de la UE. Por lo tanto, no es de extrañar que el FUD (miedo, incertidumbre y duda) esté creciendo rápidamente.

Para ayudarte a prepararte para el GDPR y evitar el pánico durante la auditoría de cumplimiento del GDPR, nos pusimos en contacto con varias empresas y les hicimos la siguiente pregunta: ¿Qué medidas ha tomado su organización para cumplir con el GDPR y qué consejos puede dar a aquellos que están empezando? Recibimos muchas respuestas útiles e incluso sorprendentes, y estamos ansiosos por compartir las seis principales.

Jose Romero, Senior Digital Strategist

Overit, una agencia de marketing digital de servicio completo (Albany, Nueva York, EE. UU.)

El GDPR tiene algunas implicaciones importantes para nuestra empresa, así como para nuestros clientes, muchos de los cuales tienen negocios internacionales que dependen de la comunicación frecuente con prospectos, clientes y otros interesados clave en la UE. El consentimiento es importante, por lo que hemos comenzado a hablar con nuestros clientes y a educarlos sobre cómo obtener el consentimiento apropiado de los usuarios de los que mantienen registros o planean contactar en un futuro cercano.

Internamente, nuestro equipo ha comenzado a prepararse revisando nuestras listas de contactos para eliminar cualquier registro de individuos con los que ya no mantenemos relaciones y actualizar los registros de aquellos que han asumido nuevas posiciones y siguen interesados en recibir noticias nuestras. Esto incluye, pero no se limita a, prospectos inactivos, prospectos perdidos, contactos rebotados, direcciones desinteresadas y listas de medios.

También hemos comenzado el proceso de revisión de nuestra política de privacidad en nuestro sitio web y estamos reconsiderando cómo recopilamos direcciones, y continuamos trabajando para mejorar nuestras comunicaciones generales con las partes interesadas tanto para contactos nacionales como internacionales.

Esta no es la primera vez que hemos tenido que reforzar nuestras prácticas de cumplimiento internacional. En el pasado, hemos tenido que lidiar con CASL (Ley Canadiense Anti-Spam) y tomar precauciones allí, y estoy seguro de que esta no será la última vez. Como regla general, los cambios en la legislación en el extranjero tienden a marcar la pauta para la industria, por lo que nuestra intención no es solo cumplir con CASL o GDPR, sino asegurarnos de que nuestra marca sea responsable y proactivamente busque posibles cambios en la legislación de marketing y privacidad a nivel internacional.

Karolina Rut, Especialista en Comunicación

Sparkbit, una empresa que ofrece servicios de subcontratación de desarrollo de software y consultoría de TI (Varsovia, Polonia)

La entrada en vigor del GDRP supone grandes cambios para las PYMEs como la nuestra. En primer lugar, consultamos a un abogado especializado en protección de datos personales para comprender mejor qué implica la ley GDPR y cómo debe proceder nuestra empresa para cumplir. Después, comenzamos a analizar qué datos tenemos, quién tiene acceso a ellos, cómo están protegidos y cuáles son los riesgos potenciales de compromiso de los datos.

Hemos preparado una lista muy detallada de cada documento que contiene datos sensibles y especificado cómo se almacena (copia impresa, en un disco de computadora, en la nube, etc.). Ahora nuestro enfoque es crear reglas para el manejo de cada tipo de dato sensible, como quién puede acceder a qué tipo de datos, dónde deben almacenarse y por cuánto tiempo, qué documentos deben imprimirse y guardarse bajo llave, qué documentos pueden tener una versión digital, etc. También estamos preparando un acuerdo de confidencialidad específico para nuestros empleados.

En este momento, nos sentimos bastante preparados para la entrada en vigor del GDPR. Lo último que queda es crear una lista de riesgos potenciales para nuestra organización y datos, junto con su impacto y recomendaciones de control, para poder evitarlos.

Ruth Carter, Propietaria/Abogada

Carter Law Firm, la empresa matriz para las actividades profesionales de oratoria y escritura de Ruth Carter, una abogada licenciada en Arizona y una autoridad en propiedad intelectual, contratos comerciales y derecho de internet (Phoenix, Arizona, EE. UU.)

I am an internet attorney who advises clients on GDPR compliance, and I am getting ready for the GDPR for my own company. In addition to updating the company’s privacy policy, I added double opt-in to our email list and I am asking my current email list to re-opt-in. Anyone who does not opt-in that I do not know and cannot verify residency for will be removed from the email list.

Estos son mis principales consejos para las empresas que trabajan en cumplimiento:

• O lee la ley con detenimiento por ti mismo, o consulta a un abogado o proveedor de confianza.
• Utilice el consentimiento doble opt-in para su lista de correo electrónico.
• No agregues a nadie a la lista de correos sin su consentimiento explícito.
• Sea transparente sobre qué datos recopila y cómo se utilizan.
• Solo recolecta los datos que necesitas.
• Permita solo a los empleados y contratistas acceder a ello en base a la necesidad de saber.
• Es mejor pecar de cauteloso; la multa por violar esta ley es de millones de dólares.

Hannah Whitehouse, Gerente de Marketing de Contenidos

Bouncezap, creador de una herramienta de marketing para generación de clientes potenciales utilizada por empresas para aumentar su tasa de conversión (Londres, Reino Unido)

Como proveedor de SaaS que trabaja con diferentes empresas, sabemos que proteger la información de nuestros clientes es vital. Recientemente nos hemos centrado en reescribir nuestra política de privacidad para que nuestros usuarios, y en particular nuestros clientes, sepan cómo se utiliza su información y que sus datos están seguros. Operamos una herramienta de generación de leads que proporciona análisis sobre las campañas de nuestros usuarios; por lo tanto, el GDPR es aún más importante para nosotros: Nuestros usuarios sabrán que su información está segura y no se utilizará en nuestros materiales promocionales sin su expreso permiso.

Durante los próximos dos meses, nos pondremos en contacto personalmente con los usuarios para informarles sobre nuestra política, además de mostrar claramente la nueva política de datos en el sitio web, de modo que estemos protegidos independientemente de la página en la que aterricen los visitantes.

Aconsejaría a las empresas preocupadas por el cumplimiento del GDPR que comiencen ahora. Pregúntese, ¿tiene una política de privacidad? ¿Es prominente en su sitio? ¿Es vaga? Es importante recordar que su política de privacidad y términos de uso están para protegerlo tanto a usted como a sus usuarios. Finalmente, utilice la gran cantidad de fuentes relacionadas con el GDPR en línea para asegurarse de que no le falta nada. Lo último que su negocio necesita es estar apresurándose justo antes de la fecha límite aún desprotegido.

Ian McClarty, Presidente

PhoenixNAP, un proveedor global de servicios de TI que ofrece soluciones progresivas de infraestructura como servicio desde ubicaciones en todo el mundo (Phoenix, Arizona, EE. UU.)

Si pudiera dar un único consejo a aquellos que se verán afectados, sería “No se alarmen”. Vimos la regulación como una amenaza inminente que tendríamos que apresurarnos a implementar. Sin embargo, el GDPR tiene la intención de proteger los datos personales de los ciudadanos de la UE, lo cual es un esfuerzo loable. Las organizaciones que demuestren que están haciendo su mejor esfuerzo para implementar medidas de protección de datos personales no tienen que preocuparse de que las regulaciones afecten sus operaciones diarias o ingresos.

Muchos requisitos no están claros y las organizaciones deben usar su mejor criterio al decidir un plan de implementación. Por lo tanto, haga lo mejor posible para cumplir con el GDPR y no confíe demasiado en su preparación para ello.

Cualquier organización que busque estar preparada debe tomar los siguientes pasos mínimos:

• Paso 1: Asegúrese de que la dirección esté a bordo e impulse el cambio. Cualquier esfuerzo para implementar las políticas y procedimientos necesarios para el cumplimiento requiere la aceptación de todos los ejecutivos de nivel C y la expectativa de que estos cambios afectarán a todos los equipos en todos los niveles.
• Paso 2: Realice un análisis exhaustivo de los datos. Busque todos los datos personales almacenados en cada sistema en todas partes. Este no es un esfuerzo menor y puede llevar meses.
• Paso 3: Determine la base para el consentimiento de todos los datos. Una vez que sepa qué datos tiene, averigüe por qué los almacena en primer lugar. Esto no es solo un ejercicio para justificar por qué “desea” almacenar datos. En cambio, este paso asegura que tenga una razón legal y justificable para mantener esos datos.
• Paso 4: Decida sobre una política de retención. Necesita determinar cuánto tiempo retener los datos y qué hacer con ellos (eliminarlos, archivarlos o anonimizarlos) una vez que ya no los necesite o no pueda mantenerlos legalmente.
• Paso 5: Capacitar al personal. Aunque es beneficioso capacitar a todo el equipo, inicialmente querrás centrarte en el personal de primera línea que atiende las solicitudes de los clientes. Luego, capacita al personal de back-end que gestiona y mantiene los sistemas y el software donde se almacenan los datos personales, y al personal técnico encargado de diseñar, arquitecturar y construir nuevos sistemas y software que deben seguir las políticas de datos.

Sophie Miles, CEO y Cofundadora

QuotesAdvisor.com, una empresa que ofrece comparación gratuita entre préstamos personales, créditos hipotecarios, créditos prendarios, tarjetas de crédito, tarjetas de débito y seguros de coche (Torino, Italia)

Hemos decidido no solicitar información personal a nuestros usuarios. Aunque esta elección significa perder terreno con respecto a herramientas de marketing, como la fidelización de clientes y CRM, hicimos algunos cálculos y concluimos que requeriría un 26% más de financiación cambiar nuestras unidades de almacenamiento de datos y el sitio web para alinearlos con los requisitos del GDPR, en lugar de simplemente actualizar nuestro sitio web y dejar de recopilar datos personales.

Específicamente, decidimos eliminar los formularios de entrada para información básica de identidad como nombre, dirección y números de identificación. Por lo tanto, podemos centrar nuestros esfuerzos en la base de datos de nuestros clientes, que es mucho más pequeña y vital para nuestro negocio.

Nuestra recomendación para aquellos que acaban de empezar es centrarse en la base de datos más importante. Solíamos tener información sobre todo, pero descubrimos que solo utilizábamos una fracción de ella.

Reflexiones finales

No existe una fórmula universal para lograr el cumplimiento del GDPR. Sin embargo, si te preparas determinando qué datos tienes y qué necesitas realmente, y estableciendo políticas adecuadas, puedes dejar de entrar en pánico — no solo sobrevivirás en la era del GDPR, sino que realmente te beneficiarás de ella.