Cómo proteger a su pequeña empresa de brechas de privacidad y multas de GDPR

A pesar de que ya han pasado casi dos años desde la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea (GDPR), la implementación de las medidas necesarias para su cumplimiento sigue generando confusión e incluso algunos mitos, principalmente para las pequeñas empresas, incluso aquellas que recurren a la asesoría de expertos en servicios de seguridad informática.

Para ayudar a resolver algunas de las más frecuentes dudas sobre el tema, a continuación se presentan algunas aclaraciones, presentadas a partir de la experiencia de múltiples compañías pequeñas y organizaciones no lucrativas y de beneficencia.

Sólo las grandes empresas, como Google o Facebook, deben cumplir con el GDPR: A pesar de que los gigantes tecnológicos son los principales responsables de asegurar nuestra información personal, la protección de datos corresponde a cualquier compañía u organización gubernamental resguardar debidamente cualquier información confidencial de usuarios y empleados.

Las organizaciones no gubernamentales y empresas pequeñas deben revisar sus políticas de protección de datos vigentes y actualizar todos los puntos necesarios para asegurarse de que su actual política de manejo de información cumpla con lo estipulado en GDPR en lo respectivo a sus procesos de recolección de información, almacenamiento, protección y destrucción de datos personales y sistemas de almacenamiento.

La implementación de políticas generales basta para cumplir con GDPR: A pesar de que múltiples organizaciones públicas, firmas y especialistas en servicios de seguridad informática concuerdan en la mayoría de los puntos a cumplir por las compañías y ONGs en materia de protección de datos, es fundamental que cada organización analice su propia infraestructura, recursos y experiencia para encontrar la mejor forma de adaptarse a la legislación.

El consentimiento no exenta a las compañías de seguir mejorando: Muchas compañías creen, erróneamente, que los usuarios no pueden presentar inconformidades sobre sus políticas de recolección de datos después de haber otorgado su consentimiento para esta labor. Además, las empresas deben recordar que el consentimiento debe ser otorgado libremente, de forma informada, específica y explícita, además de que puede ser retirado en cualquier momento.

Las organizaciones benéficas deben ajustarse también: Es cierto que algunas ONGs no están sujetas al cumplimiento de GDPR, aunque esta exención está reservada sólo para las organizaciones que procesan únicamente información de sus miembros o beneficiarios.

Esto cambia al tratarse de organizaciones que trabajan con otras compañías o beneficiarios. En estos casos, las ONGs deberán registrarse ante la autoridad de protección de datos correspondiente a cada país, mencionan expertos en servicios de seguridad informática.

El cumplimiento de GDPR nunca termina: La seguridad informática es un mundo en constante avance, por lo que las pequeñas y medianas empresas, además de organizaciones no lucrativas deben realizar constantes evaluaciones de seguridad de manera continua para asegurarse de que sus políticas y procedimientos no se vean rebasados por la realidad, convirtiéndose en presa fácil para los actores de amenazas. Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS), esta labor de actualización debe llevarse a cabo al menos cada dos años.