El Reglamento General de Protección de Datos (RGPD) es una normativa fundamental que regula el uso, administración y tratamiento de datos personales en toda la Unión Europea. Este reglamento establece las responsabilidades de cualquier entidad en relación con la obtención, acceso, intervención, transmisión, conservación o supresión de los datos de terceros.
El RGPD y su impacto en las Administraciones Públicas
Aunque se ha publicado mucho contenido sobre cómo esta normativa afecta a las empresas privadas, es igualmente crucial entender su impacto en las Administraciones Públicas (AAPP). La adaptación a esta legislación varía según el tamaño de la organización, el tratamiento y gestión de los datos, y su naturaleza pública o privada.
El objetivo del RGPD es determinar la responsabilidad de cualquier entidad respecto a la obtención, acceso, intervención, transmisión, conservación o supresión de los datos de terceros.
Qué deben hacer las Administraciones Públicas para cumplir el Reglamento General de Protección de Datos RGPD
El RGPD afecta a las Administraciones Públicas (AAPP), las Administraciones Locales (AALL) y empresas públicas que son responsables y encargados del tratamiento de datos personales en el desarrollo de sus actividades. Sobre ello la Agencia Española de Protección de Datos recoge*:
- Identificar la finalidad y la base jurídica de los tratamientos: mientras que con la LOPD las AAPP podían ampararse en el “interés público” sin necesidad de pedir siempre el consentimiento de los usuarios, el RGPD requiere identificar la base jurídica según el caso (por ejemplo, para cumplir una misión de interés público o una obligación legal).
- Facilitar procedimientos para que los ciudadanos realicen una acción afirmativa clara mediante la que den un consentimiento explícito en la cesión de sus datos.
- Adaptar los documentos utilizados para recoger los datos al RGPD, haciéndolos concisos, transparentes y accesibles para todos.
- Trabajar con encargados de tratamiento (ET) que ofrezcan garantías de cumplimiento del RGPD.
- Realizar análisis de riesgo de incumplimiento del RGPD así como de las medidas de seguridad (fijadas en el ENS).
El papel de la protección de datos y el Esquema Nacional de Seguridad (ENS)
La protección de datos personales es una prioridad no solo para cumplir con el RGPD, sino también para garantizar la seguridad y privacidad de la información manejada por las Administraciones Públicas. El Esquema Nacional de Seguridad (ENS) establece los principios y requisitos que deben seguir las entidades públicas para proteger adecuadamente los datos. Cumplir con el ENS asegura que las medidas de seguridad implantadas sean proporcionales al riesgo y que se protejan adecuadamente los sistemas, servicios y datos.
La sensibilidad de los datos en entidades públicas
Las entidades públicas, como los ayuntamientos, manejan una gran cantidad de datos sensibles que abarcan desde información personal de todos los ciudadanos hasta datos confidenciales de sus empleados. Esto incluye registros de nacimiento, historiales médicos, detalles financieros, y datos personales y profesionales del personal de la administración. En el ámbito de la gestión de Recursos Humanos, se gestionan datos especialmente sensibles como CVs, datos financieros, bajas médicas y otros aspectos personales. La seguridad en el manejo de estos datos es crucial para proteger la privacidad de los individuos y garantizar la confianza pública en la gestión de la información.
Partners tecnológicos, claves para cumplir con el RGPD
Es probable que leyendo algunas de las disposiciones del RGPD, te hayas agobiado un poco al pensar lo difícil que puede ser cumplirlas todas sin caer en errores que puedan acarrear sanciones (multas de hasta el 4% del volumen de negocio o de 20 millones de euros, en el caso de la empresas privadas, y sanciones de apercibimiento para las AAPP). Eso miedos están justificados, porque alcanzar estas condiciones es extremadamente complejo si se realiza de forma autónoma. De ahí que sea fundamental contar con el apoyo de partners especializados.
El mayor reto al que se enfrentan las organizaciones es la enorme cantidad de datos personales e información que manejan, muchas veces dispersos y otras veces aislados en silos de información. Además, los soportes y dispositivos pueden no estar todo lo bien protegidos que cabría esperar, por no hablar de los “datos oscuros” (los que no tienen visibilidad) que representan el entre el 70 y el 80% de los datos de una empresa y cuya localización y gestión resulta especialmente complejas.
Con todo esto, una organización por sí sola se arriesga a incumplir (ahora o en el futuro) con el RGPD. Por eso es imprescindible contar con proveedores tecnológicos que respeten minuciosamente las cuestiones de seguridad y privacidad. ¿Cómo pueden ayudar? Con la adopción del SaaS. Pese a sus múltiples ventajas y su difusión cada vez mayor, todavía hay quien se cuestiona si este modelo es mejor que el in house. Estas son algunas de ellas:
- Más allá del aspecto monetario (el retorno de la inversión es más rápido y predecible), una infraestructura cloud se configura rápidamente, no requiere espacio ni hardware, no necesita mantenimiento y toda la operativa recae sobre el proveedor de SaaS. Para acceder a los datos basta con conectarse a él (como ocurre con Facebook, por ejemplo).
- Plus de seguridad. Garantizar los backups automáticos y actualizados, para respetar la normativa vigente y garantizar que nunca se pierda información. Para tener mayores garantías, hay que asegurarse de que el proveedor está certificado con el ENS.
- Algunos entornos cloud ofrecen, además de todo lo anterior, reversibilidad; es decir, permiten descargar los datos de la nube para volver al modelo in house siempre que se desee.
- Savia además ofrece un servicios de auditoría de calidad y de LOPD, para que el cliente se asegure de realizar los procesos adecuadamente y de reconducir aquéllos que no se estén realizando bien.
Si hay un departamento que maneja datos confidenciales ese es sin duda el de RRHH (CVs, datos financieros, personales, bajas médicas, etc), de ahí que para él sea estratégico contar con la nube y así garantizar la privacidad y seguridad.
Un paso más allá: outsourcing
Si quieres asegurarte al 100% de que se cumple el RGPD, una garantía es la apuesta por el outsourcing o externalización de procesos. No solo desaparece la gestión de tareas administrativas (fundamentales pero no tan estratégicas, como la gestión de nóminas) sino que además estas se delegan en profesionales altamente especializados, totalmente objetivos a la organización y siempre al día de la legislación.
Ya seas una organización privada o pública, la mejor opción para cumplir con el RGPD en materia de personal es contar con un sistema integrado de Gestión de RRHH y Nómina.
Te invitamos a conocer nuestras soluciones que, además de garantizar el cumplimiento del marco legal, impulsan la transformación digital de los procesos de Recursos Humanos.