GDPR ha llegado e impacta a Marketing, RRHH y Tecnología

Artículo

GDPR ha llegado e impacta a Marketing, RRHH y Tecnología

Hemos identificado algunas áreas expuestas al tratamiento de datos de carácter personal que consideramos deben ser especialmente formadas en materia de protección de datos.

La llegada del GDPR ha supuesto una auténtica revolución y también ha conllevado cierta confusión. Actualmente, conviven tres normativas. Una, la Ley Orgánica de Protección de Datos española, actualmente en vigor; dos, su reglamento de desarrollo del año 2007; y tres, el Reglamento Europeo de Protección de Datos. Tres normas en vigor que, en muchos aspectos, más allá de complementarse, pueden llegar a contradecirse.

Con este escenario, es fundamental contar con un buen análisis del impacto que el escenario regulatorio puede tener en las diferentes áreas de las compañías y hacer conscientes a los empleados de las nuevas exigencias de la normativa. En este sentido, en Deloitte hemos identificado algunas áreas especialmente expuestas al tratamiento de datos de carácter personal que consideramos deben ser especialmente formadas en materia de protección de datos para afrontar con garantías el cumplimiento del escenario regulatorio.

Por ejemplo, los equipos de marketing tendrán que adaptarse a los requerimientos del reglamento europeo, que exige legitimar el tratamiento de datos a través de seis bases legitimadoras. O tienes el consentimiento (declaración o clara acción afirmativa el interesado) o el tratamiento necesario para la ejecución de un contrato del que el afectado es parte. O se basa en un interés legítimo del responsable del tratamiento o en un interés vital del interesado. O una ley te obliga a tratar esos datos. Sigue existiendo la posibilidad de invocar que la empresa, como responsable, como compañía que comercializa productos, tienes un interés legítimo para realizar envío de comunicaciones comerciales de productos, iguales que los contratados por el cliente que tiene una expectativa de poder recibir o análogos o similares, de los cuales también tiene una expectativa de poder recibir… En este sentido, nuestro módulo de formación en materia de GDPR destinado a los empleados del área de marketing, intenta responder a las siguientes preguntas:

  • ¿Qué se puede promocionar en base al interés legítimo?
  • ¿Qué se puede publicitar únicamente bajo consentimiento?
  • ¿Qué es el derecho de oposición para mercadotecnia directa?
  • ¿Puedo seguir realizando perfiles de los afectados y decisiones automatizadas?
  • ¿Cómo encaja el GDPR y la utilización de cookies en mi página web?

En el caso de los equipos de recursos humanos, nos encontramos con varias casuísticas a analizar especialmente en el tratamiento de datos de carácter personal de los empleados. Así, por ejemplo, es recomendable analizar la base legitimadora utilizada en algunos de los tratamientos ya que el consentimiento es probablemente el fundamento más débil desde el punto de vista jurídico cuando nos encontramos en una relación de empleado y empleador. A parte de este aspecto, nuestro módulo de formación en materia de GDPR destinado a los empleados del área de recursos humanos, ofrece respuesta a los siguientes interrogantes:

  • ¿Qué consentimientos puedo recabar y cómo?
  • ¿Estoy tratando datos de salud? Control de aptitudes.
  • ¿Cómo debo tratar los datos de los candidatos?
  • Tratamiento de imágenes, videovigilancia y control laboral. ¿Cómo encaja en el GDPR?
  • Control de accesos y datos biométricos. ¿Puedo seguir utilizándolos?
  • Impacto en la monitorización del correo electrónico y dispositivos móviles.
  • ¿Puedo enviar publicidad de mis productos a mis empleados?

Por último, pero no menos importante, es destacable la enorme exposición que los equipos de tecnología tienen en cuanto al tratamiento de los datos de carácter personal. Hoy en día, absolutamente todo pasa por sus manos y en algunas ocasiones la utilización de usuarios genéricos y privilegiados es más común de lo conveniente. La formación y concienciación de este colectivo es un aspecto fundamental para conseguir un grado de confianza razonable en cualquier organización. Además, el nuevo marco regulatorio del Reglamento Europeo tendrá mucha repercusión en la infraestructura de sistemas de tecnologías de la información en general, ya que todas las obligaciones jurídicas de la norma derivan casi siempre en implementaciones técnicas. En algunas ocasiones la obligación de recabar el consentimiento de los afectados para tratar datos con distintas finalidades y lograr una trazabilidad de ese consentimiento, implica que todo esto sea desarrollado nuevamente por los departamentos de tecnología de las distintas organizaciones por lo que la formación en estos casos recomendamos que sea más extensa y profunda.

En Deloitte, dentro de nuestro abanico de cursos relacionados con el GDPR, hemos desarrollado un módulo de formación semipresencial (e-learning más sesión de dos horas presencial), destinado a cubrir los principales retos de las áreas altamente expuestas al tratamiento de datos de carácter personal.

Si estás interesado en conocer más sobre nuestros módulos de GDPR para equipos altamente expuestos al tratamiento de datos de carácter personal, no dudes en ponerte en contacto con nosotros.

Curso de formación para la certificación de DPO

¡Inscríbete!
Did you find this useful?