El principal error al introducir GDPR es confiar en la fuerza y los recursos de una sola persona. Una práctica común es esperar un trabajo independiente en las Reglas de un abogado. En tal situación, si no tiene suficiente peso serio en la organización y no puede convencer a sus colegas de la necesidad de un trabajo coordinado en general, todo se reducirá a la preparación de plantillas de documentos inútiles que no protegerán a la empresa.
GDPR no se da cuenta solo
Peor aún si ni siquiera es un abogado. Después de haber formulado preguntas GDPR a un redactor o comercializador, puede obtener una plantilla de política de privacidad (política de privacidad) en su sitio web. ¿Recuerdas
por qué esto es malo ? En dicha política, sus usuarios no verán por qué tomó sus números de teléfono al suscribirse a un boletín electrónico. Y luego se sorprenderán de recibir una llamada con la oferta de un producto o servicio. En pocas palabras: doble queja por marketing directo y política de privacidad.
Moraleja: el cumplimiento de GDPR es trabajo en equipo. Departamento de cumplimiento, abogados, seguridad de la información o departamento de infraestructura de TI, marketing y ventas, departamento de recursos humanos (si hay empleados en la Unión Europea), departamentos de producción y funcionales: equipo ideal al implementar el Reglamento.
Explore los requisitos exhaustivamente
Un enfoque limitado en la innovación en detrimento del GDPR general es un error común. Al comenzar a elaborar una política de privacidad o consentir el procesamiento de datos personales, las empresas a menudo se olvidan de las reglas que han existido durante décadas. Reglas que migraron de la antigua Directiva 95/46 / CE al RGPD. Si solo lee publicaciones breves sobre las innovaciones de GDPR, entonces probablemente no conozca esas reglas. Mientras tanto, el RGPD no elimina las normas de la Directiva, como se establece explícitamente en el artículo 94 y el preámbulo 171. Las multas por incumplimiento de ciertas reglas son igualmente altas.
Evaluar riesgos
Y hazlo en todas partes. El GDPR ha trasladado la protección de datos personales de los rieles de las listas de verificación hacia la evaluación de riesgos. Según un análisis de riesgos, debe desarrollar documentos de forma independiente y determinar qué medidas se deben tomar. Al mismo tiempo, el Reglamento no describe el resultado al que lo llevará la evaluación de riesgos. Es probable que las medidas exitosas y efectivas en una empresa sean irrelevantes para otra. Solo en función del nivel de riesgos y las características de una amenaza particular, puede elegir medidas para su empresa.
Entonces, por ejemplo, el riesgo de transferir una base de datos personales a un competidor por un empleado sobornado no es relevante para su empresa. Además, es probable que la empresa contratante que procesa los datos cometa una violación con consecuencias negativas en relación con quienes confían estos datos. Su tarea es rastrear la implementación de GDPR por parte de los contratistas a quienes usted involucró en el procesamiento de datos personales. Es posible que no haya escuchado sobre esto de un amigo de otra compañía (bueno, lo que puede escuchar de nosotros).