El continuo tema del GDPR: La protección de datos ocupa ahora departamentos enteros. Da la sensación de que es imposible cumplir exactamente los requisitos.

Es cierto, los requisitos son realmente muy elevados y detallados. Sin embargo, unos sistemas y procesos informáticos correctamente configurados facilitan mucho la aplicación de la protección de datos. Como repositorio central de datos, el sistema ERP desempeña un papel igualmente central.

¿Qué funciones y medidas puedes utilizar para optimizar tu sistema ERP en este sentido? Este artículo explica 5 campos de actuación y enumera las medidas más importantes.

Whitepaper

Whitepaper gratuito

Descubre por qué una solución ERP moderna hace superfluo tu antiguo software de gestión de proyectos.
Solicitar ahora gratis

1. minimización de datos y limitación de la finalidad

El GDPR estipula que deben recopilarse la menor cantidad posible de datos personales: sólo aquellos que sean absolutamente necesarios para el fin respectivo. Estos datos sólo podrán utilizarse para el fin originalmente establecido. En consecuencia, los empleados sólo pueden acceder a los datos que necesiten absolutamente para sus tareas (en relación con el propósito respectivo). El acceso total para todo el mundo es tabú.

Para garantizar el cumplimiento de estos principios, debes aplicar las siguientes medidas:

  • Comprueba periódicamente qué datos personales se almacenan en tu sistema ERP y para qué se utilizan. Puede ser necesario adaptar tus procesos para trabajar conforme al GDPR.
  • Definir funciones y autorizaciones claras perfiles de autorización según el principio de »necesidad de conocer». ¿Qué grupos de empleados hay en tu empresa y qué datos necesita cada uno? Configura los derechos de acceso en consecuencia. Distingue entre autorizaciones de lectura, escritura y borrado. No todas las personas autorizadas a ver datos deben poder editarlos.
  • Comprueba también periódicamente los derechos de acceso asignados. Ajústalos si cambian las tareas o responsabilidades, o si los empleados dejan la empresa.

La asignación centralizada de derechos y funciones en el sistema ERP te ahorra mucho tiempo. No tienes que ajustar los derechos dos veces en varios sitios y se producen menos errores.

2. derecho a la supresión de datos

El llamado »derecho al olvido» es un principio clave del RGPD. Los interesados pueden solicitar la supresión de sus datos personales si ya no son necesarios o han sido tratados ilegalmente.

Sin embargo, otras obligaciones tienen prioridad sobre el derecho de supresión, como las obligaciones de conservación de facturas u otros documentos comerciales. En este caso, hay que distinguir entre datos que pueden suprimirse y datos que no pueden suprimirse.

Para tu empresa, esto significa que debes ser capaz de procesar las solicitudes de borrado rápidamente y de conformidad con la ley. De acuerdo con la ley, también debes ser capaz de proporcionar pruebas del borrado. Las siguientes medidas pueden ayudarte:

  • Obtén una visión general y documenta dónde se almacenan los datos personales.
  • Asegúrate de que puedes acceder rápidamente a los datos afectados. Evita las »tumbas de datos» que dificultan la eliminación selectiva. Una estructura de datos clara y unas funciones de búsqueda potentes son cruciales en este caso.
  • Implementar mecanismos para la eliminación segura de datos.
  • En el caso de las solicitudes de supresión, como se ha mencionado anteriormente, sólo pueden suprimirse determinados datos personales debido a las obligaciones de conservación; los demás datos deben conservarse. Por tanto, tu sistema ERP debe permitirte eliminar selectivamente registros de datos individuales, manteniendo la integridad y coherencia de los datos . Los registros de datos vinculados no deben quedar »huérfanos». Comprueba cuidadosamente qué dependencias existen y cómo deben gestionarse en caso de eliminación.

Si tu sistema ERP asume el papel central y protagonista en la red de datos, podrás encontrar registros de datos con mucha más facilidad y rapidez.

Integrar todo el entorno informático

Para cumplir plenamente el GDPR, no basta con fijarse en el sistema ERP. Incluye los procesos y sistemas que están vinculados al sistema ERP. El intercambio de datos con software para CRM, tienda web o inteligencia empresarial, por ejemplo, debe cumplir el GDPR. También debe incluirse todo el entorno informático en la gestión de roles y derechos.
Documenta cómo se conectan los componentes individuales y qué efectos tiene una acción en otro lugar. Esto lleva tiempo, pero es necesario. En cuanto hay una laguna en alguna parte, todo el sistema deja de cumplir los requisitos.

3. derecho a la información y a la portabilidad de los datos

Los interesados tienen derecho a saber qué datos se procesan, con qué finalidad y a quién se revelan. Además, los interesados pueden solicitar que se les permita transferir sus datos personales a terceros, por ejemplo a otro proveedor.

Debes responder a dichas solicitudes con prontitud. Para cumplir estas obligaciones, necesitas transparencia sobre tu recogida interna de datos y los procesos correspondientes:

  • Documenta todos los procesos y pasos de procesamiento en los que intervienen datos personales. Crea directorios detallados de procedimientos y descripciones de procesos.
  • Informar a los interesados de forma automática y proactiva sobre el tratamiento de sus datos, por ejemplo a través del sitio web o por correo electrónico.
  • Asegúrate de que puedes responder de forma rápida y completa a las solicitudes de información de los interesados. Establece responsabilidades y procesos claros.
  • Poner en marcha mecanismos (automatizados si es posible) para que los datos personales estén disponibles en un formato común legible por máquina.

Utiliza las funciones correspondientes de tu sistema ERP, como el tratamiento de directorios, la gestión de consentimientos o los asistentes de información.

Protección de datos frente a seguridad de datos: ¿cuál es la diferencia?

La protección de datos regula el tratamiento de los datos personales. Protege los derechos personales y la intimidad de las personas. La seguridad de los datos, por otra parte, pretende proteger los datos del acceso no autorizado, la pérdida o la manipulación. La protección de datos siempre incluye la seguridad de los datos (no necesariamente al revés).

4. seguridad de los datos

El GDPR exige a las empresas no sólo que traten los datos personales de forma confidencial, sino también que garanticen su seguridad. Para ello, debes adoptar medidas técnicas y organizativas adecuadas como éstas:

  • Utiliza las funciones de seguridad de tu sistema ERP en todos los ámbitos. Entre ellas se incluyen, por ejemplo, la transferencia cifrada de datos, las copias de seguridad periódicas, los controles de acceso y la autenticación de dos factores para acceder al sistema.
  • Mantén registros de accesos y cambios para poder rastrear actividades sospechosas.
  • Aplica medidas técnicas de protección adicionales, como cortafuegos, antivirus y software de detección de intrusos. Ayudan a reconocer y rechazar ataques externos.
  • Define directrices y procesos de seguridad claros. Especifica quién es responsable de la seguridad de los datos, cómo deben gestionarse los incidentes de seguridad y cómo se supervisa el cumplimiento de las directrices.
  • Documenta cuidadosamente todas las medidas de seguridad adoptadas. Esto no sólo cumple los requisitos de conformidad con el GDPR. La documentación también acelera la resolución de problemas y la rectificación en caso de emergencia.

El sistema ERP como centro simplifica considerablemente tu concepto de seguridad de los datos: si todos los datos personales se almacenan en un solo lugar, puedes centrar en ellos tus medidas de protección técnica.

Incluso la mejor tecnología es inútil si los empleados no saben utilizarla. Hay que sensibilizar y formar a los empleados en cuestiones críticas como la protección de datos.

5. sensibilizar y formar a los empleados

Incluso la mejor tecnología es inútil si los empleados no saben utilizarla. Hay que sensibilizar y formar a los empleados en cuestiones críticas como la protección de datos. Las siguientes medidas han demostrado su eficacia:

  • Haz que la protección de datos sea un tema en tu empresa. Proporciona información periódica sobre los avances y retos actuales, por ejemplo a través de reuniones de personal, circulares por correo electrónico o la intranet.
  • Ofrece formación periódica sobre el tema de la protección de datos. Ésta debe abarcar tanto los principios legales como el uso práctico del sistema ERP.
  • Designa responsables o coordinadores de protección de datos en los distintos departamentos. Éstos actúan como personas de contacto para los compañeros y pueden prestar apoyo en caso de preguntas o problemas.
  • Integra el tema de la protección de datos en la incorporación de nuevos empleados.
  • Pide a tu proveedor de ERP formación o material sobre el cumplimiento del GDPR.

La responsabilidad es tuya

Los sistemas ERP ofrecen muchas funciones para aplicar técnicamente los requisitos del GDPR. Sin embargo, su mera existencia no basta para cumplir plenamente el GDPR.

En última instancia, la responsabilidad del cumplimiento del GDPR recae en ti. Asegúrate de que las opciones se utilizan realmente y se integran en los procesos operativos.

También recomendamos trabajar con un abogado especializado cuando se trate del diseño específico y la aplicación de las directrices del GDPR en tu empresa. Ellos se asegurarán de que todos los requisitos legales se apliquen correctamente y de que tu empresa vaya literalmente sobre seguro.

Cuadro de información: ¿Qué es el GDPR?

El Reglamento General de Protección de Datos (RGPD) de la UE pretende normalizar la legislación sobre protección de datos en Europa. Entró en vigor el 25 de mayo de 2018. Persigue dos objetivos principales:

  • Por un lado, deben salvaguardarse los derechos y libertades fundamentales de las personas físicas, en particular su derecho a la protección de los datos personales.
  • En segundo lugar, hay que garantizar la libre circulación de datos personales dentro de la Unión Europea para reforzar el mercado único digital.

El RGPD se aplica a todas las empresas y organizaciones que tratan datos personales de ciudadanos de la UE, independientemente de que tengan su sede dentro o fuera de la UE. Las empresas que infrinjan el RGPD se enfrentan a multas severas de hasta 20 millones de euros o el 4% de su facturación anual global. Además, los interesados pueden reclamar daños y perjuicios.

Aviso legal:

El contenido gratuito y de libre acceso de este sitio web ha sido creado con el mayor cuidado posible. Sin embargo, señalamos expresamente que no asumimos ninguna garantía u otra responsabilidad por la exactitud, actualidad o integridad de las guías periodísticas y la información proporcionadas en este sitio web.

El contenido de este sitio web no pretende ser un asesoramiento jurídico para tu empresa en el que puedas confiar para el cumplimiento de la normativa legal sobre protección de datos -en particular el GDPR- ni puede sustituir al asesoramiento jurídico individual.

Además, al acceder a este contenido gratuito y de libre acceso, no se establece ninguna relación contractual entre nosotros y tú como usuario del sitio web en ausencia de la correspondiente intención legalmente vinculante por nuestra parte.