RGPD: por qué es importante para los profesionales de seguridad y salud
10 de octubre de 2018
La llegada de la Reglamento General de Protección de Datos, RGPD, de la UE ha desembocado en una avalancha de correos electrónicos notificando cambios en la política de privacidad, pidiéndonos actualizar nuestras opciones de inclusión o la configuración de la subscripción, etc.
Sin embargo, muchos se sorprenderían al descubrir que la RGPD no trata solo sobre la seguridad en línea y la protección de la información. El Reglamento, que entró en vigor en la Unión Europea el 25 de mayo de 2017, sustituyendo a la anterior Ley Europea de Información de 1988, se aplica a cualquier dato personal que se pueda utilizar para identificar a una persona, incluyendo nombre, Documento de Identidad, número de teléfono, etc. El Reglamento comtempla multas considerables contra las compañías infractoras y algunas de las primeras en sufrirlas incluyen a gigantes de la tecnología como Google, Facebook, Instagram y WhatsApp, que se enfrentan a demandas de hasta 9.600 millones de euros en este ámbito.
Ya que la función de seguridad y salud de una organización trata con la información personal de empleados, clientes, contratistas e incluso visitas, la RGPD tiene un impacto significativo en ella. Cualquier profesional de seguridad y salud casi con total certeza ha tenido que tratar con algunas de las siguientes áreas, todas susceptibles de contener datos personales sensibles:
- Accidentes en el lugar de trabajo o registros de incidentes, que potencialmente pueden incluir declaraciones de testigos
- Registros de formación en seguridad y salud
- Evaluación de riesgos, tanto cualitativa como cuantitativa
- Bases de datos de acreditaciones personales
- Evaluación de salubridad en los lugares de trabajo y pruebas de preselección de empleados
- Reclamaciones a las compañías de seguros por accidentes laborales
- Quejas o auditorías en el área de seguridad y salud.
En un futuro cercano, los equipos de seguridad y salud ocupacional pueden tener que hacer cambios para adaptarse al reglamento ya que mucha de la información personal que manejan será objeto de controles más restrictivos debido a su naturaleza sensible. Adaptarse a la regulación probablemente requerirá un enfoque que irá desde los sistemas de gerencia de seguridad y salud de toda la empresa a los estándares y políticas que controlan la seguridad, salud y aspectos de calidad y medioambientales del lugar de trabajo. Los profesionales de la seguridad tendrán que aliarse con el personal de calidad para asegurarse que los requerimientos se implementan en los sistemas y actividades de la compañía.
A continuación, se encuentra una lista de pasos que necesitan ser tenidos en cuenta con miras a adaptarse a la RGPD:
- Llevar a cabo una autoevaluación usando las listas de comprobación para los controladores de datos y procesadores. Esto debería proporcionar una amplia visión de cuan bien se cumple la nueva legislación sobre protección de datos.
- Revisar sus procedimientos para identificar aquellos que implican datos personales o que permiten que los datos personales sean compartidos con terceras partes.
- Revisar si dichos datos personales son realmente necesarios en esos casos y considerar si hay lagunas en sus políticas. Esto proporcionará una base para un detallado examen de políticas y para cambiar impresos y flujo de datos si es necesario.
- Revisar qué miembros del personal tienen acceso a tipos específicos de documentos. Esto puede ser anotado en el procedimiento o en un registro separado.
- Si su organización lleva a cabo evaluaciones de riesgo corporativas con regularidad, deberían usar el mismo enfoque para el riesgo de la protección de datos personales (por ejemplo, quejas de antiguos empleados sobre el uso inadecuado o la cesión de datos personales).
- Si los datos se almacenan en papel, determinar dónde se almacenan y quién tiene acceso a ellos.
- Establecer una política de retención de datos si aún no tienen una y asegurarse que figura en lugar prominente entre las políticas de la compañía.
Como parte del proceso de cumplir con el reglamento, es casi seguro que tendrán que abordar la mayoría si no todos los puntos enumerados más arriba. Un enfoque ideal sería asegurarse que cualquier nuevo procedimiento o política desarrollada en el futuro tenga en cuenta los requisitos de la protección de datos. La responsabilidad de esto reside fundamentalmente en los gerentes de seguridad y salud y en los profesionales de calidad.
Incluso las compañías que ya tienen establecidas medidas para el control de datos pueden tener que realizar trabajo extra para conseguir un buen nivel de cumplimiento. En cualquier caso, ahora es un buen momento para desarrollar políticas e implementar herramientas y aplicaciones para asegurarse que su organización cumple de ahora en adelante.
Todavía no hay comentarios