Madrid, 11 de junio de 2018- El constante avance de las nuevas tecnologías y del uso de internet han ido cambiando la manera en que usuarios y empresas se comunican entre sí, afectando cada vez más a la privacidad y la protección de los datos personales de las personas físicas.
Como es habitual, el desarrollo tecnológico evoluciona con mayor rapidez que el legislativo, que trata de adaptarse a los nuevos supuestos. Con la intención de sentar las bases de una normativa que se adecúe a la realidad actual, y tras varios años de debate, las autoridades europeas competentes acordaron un Reglamento Europeo de Protección de Datos (RGPD o GDPR, por sus siglas en inglés), en vigor desde hace dos años, pero plenamente exigible desde el pasado 25 de mayo.
Esta normativa cambia la forma en que la compañía y cada uno de sus miembros han de tratar los datos personales de las personas físicas, otorgando nuevos derechos a los usuarios y exigiendo mayor responsabilidad a las empresas. Es aplicable en todos los países de la Unión Europea y no sólo afecta a las empresas establecidas en los países miembros, sino a todas aquellas que ofrezcan sus productos o servicios a los ciudadanos o residentes europeos.
La nueva ley se basa en la consideración de que la privacidad de los datos personales es un derecho fundamental del individuo y, para salvaguardarlo, propone un modelo basado en la responsabilidad proactiva, al no establecer una manera concreta de cómo ha de hacerse.
Todo esto supone un completo cambio de paradigma en las organizaciones, tanto públicas como privadas, a las que la Unión Europea ha concedido un plazo de dos años para su adecuación, por lo que han tenido que aplicar las medidas técnicas y organizativas apropiadas a fin de proteger los datos personales de las personas físicas afectadas, en nuestro caso, clientes, empleados y proveedores.
Para ello, en Codere se creó un equipo de adecuación a la GDPR, formado por José Luis González, director de Seguridad, como responsable del área técnica, y Javier Lomas, abogado corporativo, como responsable del área legal, que ya se han reunido con todas las direcciones de la Compañía, para presentar e impulsar el proyecto. El equipo se ha visto reforzado con la colaboración interna de Luis Miguel Brejano, responsable de Seguridad Tecnológica, y Cristina Vergel, técnico de Cumplimiento corporativo, así como a la externa de la consultoría especializada ECIX.
El proyecto se inició con el inventario exhaustivo de todos los procesos en los que se están recabando o gestionando datos de carácter personal, para asegurar que se cumple con las nuevas exigencias regulatorias, que son esencialmente:
- La recogida de datos se debe reducir al mínimo y de manera transparente e informada.
- El consentimiento debe de ser expreso, dado de forma libre e inequívoca.
- Se eliminarán aquellos datos que no son necesarios para la actividad.
- Se limitará el acceso a las bases de datos a las personas que los necesitan.
- El gobierno y seguridad de los datos debe garantizarse durante todo su ciclo de vida.
- Hay obligación de notificar las brechas de seguridad que afecten a datos personales.
- Se debe garantizar que los clientes pueden ejercer sus nuevos derechos con respecto a sus datos (acceso, rectificación, portabilidad, limitación, supresión, oposición y revocación).
Proyecto de adecuación legal de Codere al nuevo Reglamento de Protección de Datos
Uno de los principios fundamentales de la nueva normativa europea consiste en que las empresas no solo serán responsables del cumplimiento de lo dispuesto en el RGPD en todo lo relativo a la protección de datos personales, sino que estarán obligadas y deberán ser capaces de demostrar que han cumplido. Para ello, Codere, está adecuando el tratamiento de datos de todos sus colaboradores, implementado un sistema de respuesta a las posibles reclamaciones y ejercicio de derechos que se hagan, revisando las distintas páginas web del Grupo y todos los contratos con proveedores que traten datos para adecuarlos a la nueva normativa, y acometerá la armonización de la aplicación de las normas de protección de cada uno de los países de las unidades de negocio de la Compañía.
Por otra parte, la nueva normativa establece para determinadas empresas, entre ellas las de juego, la obligatoriedad de una nueva figura que asuma las responsabilidades en cuanto a coordinación y cumplimiento del nuevo marco, un Delegado de Protección de Datos, cargo para el que ha sido nombrado José Luis González.
IRM de Sealpath, la herramienta para la protección de nuestros correos
Con la entrada en vigor de la nueva normativa surge la necesidad de proteger los archivos ofimáticos, para lo que la Compañía ha adoptado la herramienta IRM (Identity Right Management o gestión de derechos de identidad), de Sealpath, que nos permite cifrar la información sensible, de manera que se garantice la confidencialidad y privacidad de la documentación electrónica que intercambiamos.
Así, los colaboradores de España, Italia y Corporativo que compartan información relevante, podrán gestionar como emisores la privacidad de su contenido, otorgando distintos niveles de uso y acceso a los destinatarios.
Si bien actualmente la herramienta está solo instalada en los dispositivos de los colaboradores de los países afectados por el nuevo reglamento, en una segunda fase, a lo largo de 2019, se implementará en el resto de países.
Sin embargo, desde este momento, todos los colaboradores pueden ya recibir correos con información cifrada, siendo necesario para su lectura la instalación del lector de documentos de Sealpath que el propio email cifrado indicará cómo descargar.
Obligación de concienciar, deber de concienciarse
El cumplimiento del nuevo Reglamento de Protección de Datos supone el ejercicio de una responsabilidad conjunta, de la Compañía y de sus colaboradores, en el sentido de que la primera tiene el deber de aplicar todas las medidas a su alcance para asegurar la protección de datos, así como de formar y concienciar a sus empleados sobre ellas, y los trabajadores tienen por su parte la obligación de recibir esa formación y aplicar las nuevas directrices.
Para ello, en el marco del Curso de formación y concienciación en Ciberseguridad que de manera online se imparte a todos los empleados de Codere desde el pasado año, se ha introducido un módulo, de carácter obligatorio, para todos los colaboradores de España, Italia y Corporativo, sobre la nueva normativa y lo que en nuestro funcionamiento diario implica.
Una de los recientes requerimientos consiste en informar al equipo de adecuación sobre todos los procesos existentes o en fase de creación que supongan una recogida de datos, para que se pueda aplicar la normativa desde el propio diseño de la actividad, siguiendo el principio de Privacy by design –privacidad desde el diseño- que estipula el nuevo texto, entendiendo que la protección supone un proceso dinámico, intrínseco a la actividad de las empresas.
Un aliado para la reputación empresarial
La aplicación de todas estas medidas, además de garantizar la protección de los datos personales de las personas físicas que tratan con las organizaciones, favorece la reputación de las compañías, pues sus clientes se sienten más seguros y confiados, al minimizarse el riesgo de posibles fugas que comprometan su privacidad.
Por otra parte, la vulneración de la norma no solo perjudica a la reputación de la empresa, sino que está penada con un estricto régimen sancionador, que en caso de infracción establece en el peor de los casos multas de hasta 20 millones de euros o del 4% del volumen de negocio de la compañía, la cantidad que sea superior.
