Los costes económicos y el riesgo reputacional de incumplir el RGPD

Entender e implementar los requisitos del Reglamento General de Protección de Datos (RGPD) no es tarea fácil. Son muchas las cosas a tener en cuenta para ajustar tu empresa a la nueva normativa, pero es esencial comenzar esta adaptación antes del 25 de mayo de 2018. De lo contrario, tu organización puede sufrir grandes costes, y no solo económicos.

Multas

Una de las grandes preocupaciones RGPD son las sanciones. Ignorar o no cumplir el Reglamento en su totalidad puede ocasionar multas de hasta 20 millones de euros o un 4% del global anual del ejercicio anterior, lo que sea mayor.

La cuantía de la infracción en caso de producirse una violación de seguridad en los datos será de 10 millones de euros o un 2% del volumen de negocio total anual del ejercicio financiero anterior. Esta multa también se aplicará si la organización necesita un Delegado de Protección de Datos (DPD) y no ha sido nombrado.

Control y revisión de cumplimiento

El Reglamento General de Protección de Datos afecta a todas las empresas que trabajan con datos de residentes europeos independientemente de dónde tengan su sede. Por ello, cada Estado miembro de la Unión Europea tendrá un organismo regulador que vigile la correcta aplicación del Reglamento. En España está autoridad es la Agencia Española de Protección de Datos (AEPD).

Ante una posible investigación de la AEPD, es importante tener todo en orden para evitar las sanciones mencionadas anteriormente. Se recomienda llevar a cabo una Evaluación de Impacto en la Protección de los Datos (EIPD), así como revisar continuamente la correcta implementación de la nueva legislación.

Fuga de datos personales

Según un estudio de la multinacional de tecnología informática y consultoría IBM, el coste medio de cada registro perdido o robado asciende a 115 euros y la pérdida total de una violación de seguridad es de alrededor de tres millones de euros.

En cualquier caso, las violaciones de seguridad necesitan ser reportadas a la autoridad de control siempre que exista un riesgo para los derechos y las libertades de las personas físicas. Debe hacerse en un máximo de 72 horas desde que se tiene conocimiento de dicha violación.

El artículo 83 del RGPD indica que la forma en que las diferentes autoridades —la AEPD en el caso español— se haga eco de la violación de seguridad será un factor determinante a la hora de imponer la sanción administrativa y su cuantía.

Reputación empresarial

Desgraciadamente, la mayoría de las violaciones de seguridad son inevitables y no por ello una empresa es más o menos competente. Todas las organizaciones deben contar con las medidas técnicas y organizativas necesarias para prevenir estas violaciones así como el resto de ataques informáticos. Sin embargo, si se produjera será clave el método de actuación.

En caso de sufrir una violación de datos hay que proceder con responsabilidad y siguiendo los criterios del Reglamento. De esta manera, tanto el mercado como los clientes seguirán confiando en la compañía. Intentar ocultar el incidente o no actuar con transparencia solo llevará a una pérdida de reputación empresarial.

Para evitar este tipo de situaciones o saber cómo lidiar con ellas, desde IT Governance te recomendamos asistir a nuestro próximo curso presencial de introducción al RGPD impartido por un experto y certificado por la norma ISO 27014. Tendrá lugar próximamente en:

MADRID: 23 abril

BARCELONA: 14 mayo  

Haz clic aquí e inscríbete >>

 

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.