Con el Reglamento General de Protección de Datos (GDPR) que entrará en vigor a finales de mayo, cualquier empresa o sus clientes que ofrezcan bienes o servicios a personas en la UE deben poder demostrar que sus procesos de recopilación, uso, almacenamiento y compartición de cualquier dato personal son totalmente conformes.
Lo que es más importante, esto se aplica a las empresas de contabilidad con sede en los Estados Unidos que trabajan directamente con los clientes de la UE necesitan cumplir con la RPI o se enfrentan a sanciones.

De manera alarmante, una encuesta reciente de Sage, encontró que el 84 por ciento de las compañías estadounidenses no entienden lo que el despliegue de GDPR significa para sus negocios específicamente, y el 91 por ciento carece de un entendimiento general de los detalles de la regulación. Además, el 74% de las empresas estadounidenses encuestadas no están seguras de ello, o no saben si sus empresas estarán preparadas para los requisitos de la GDPR antes de la fecha límite de la UE.
Los resultados de la encuesta son como mínimo preocupantes dado que las empresas pueden enfrentarse a multas de hasta 20 millones de euros (aproximadamente 24 millones de dólares) o el cuatro por ciento del volumen de negocios mundial anual (la cantidad que termine siendo mayor).
Cómo prepararse para la RPI
Los contadores supervisan cantidades increíbles de importantes datos comerciales y personales – relacionados con sus propias prácticas y las finanzas de sus clientes. Con la fecha límite del 25 de mayo acercándose rápidamente, aquí hay cinco acciones que las empresas de contabilidad deben tomar para prepararse para las regulaciones de la UE:
1. 1. Describa la diferencia entre controladores y procesadores de datos
El GDPR define dos funciones claras en relación con el manejo de los datos: los procesadores de datos y los controladores de datos. Por consiguiente, los contables deben considerar lo que esto significa para los papeles dentro de sus empresas: quién califica como procesador de datos y quién como controlador de datos.
Un controlador de datos es la organización que determina el propósito y los medios para recopilar datos personales. Según su cometido, un contador puede estar procesando datos personales en nombre de otra organización, actuando únicamente siguiendo las instrucciones del controlador de datos, y por lo tanto está actuando en calidad de «procesador de datos». Sin embargo, si el contador también actúa por su propia cuenta, por ejemplo debido a la obligación legal de denunciar los actos ilícitos, entonces el contador también puede ser un controlador de datos.
Para cumplir al 100% con la normativa del PIB, cada una de estas funciones de contabilidad requiere una reflexión y una definición claras en relación con la gestión, el almacenamiento y la utilización de los datos personales.
2. 2. Realizar una auditoría interna de datos en toda la empresa
Es necesario que una empresa revise la forma en que recoge, procesa y alberga los datos personales tanto en formato electrónico como en formato impreso. Un gran paso inicial para los líderes contables es realizar una auditoría de datos en toda la empresa. La auditoría debe identificar y evaluar los métodos que la empresa utiliza para reunir y procesar los datos personales de los empleados y los clientes.
Después de la auditoría, la dirección de la empresa debería considerar cómo se eliminarán los datos obsoletos e innecesarios de las bases de datos, los archivos y cualquier instalación de archivo de la empresa, y cómo garantizar la seguridad y la protección de la información que se está almacenando. A partir de ahí, deberían establecer un sistema de recopilación y presentación de informes 'de responsabilidad' de registros que avancen, a fin de demostrar -de manera eficiente y oportuna- que la empresa cumple con la normativa de la RPI.
3. 3. Revisar el software o las soluciones de terceros
Además de asegurarse de que todos los métodos internos de recopilación y procesamiento de datos están en regla, las empresas también deberían revisar cualquier software de terceros que estén utilizando. En lugar de suponer que los sistemas externos cumplirán los requisitos de su PIBR, pregunte a los proveedores exactamente cómo sus sistemas apoyarán la legislación inminente.
Las consideraciones deben incluir el lugar donde se almacenan los datos, especialmente si el proveedor proporciona un servicio basado en la nube, las especificaciones técnicas de las plataformas de software de terceros, la infraestructura de seguridad y los procedimientos de copia de seguridad y recuperación. Existe la posibilidad de que algunos proveedores no estén preparados para la GDPR, por lo que las empresas de contabilidad deberían construir a tiempo en caso de que necesiten invertir en nuevos sistemas más compatibles.
4. Comunicar los planes de GDPR con los clientes
Los contadores también deberían encargarse de ayudar a los clientes a prepararse para la RPI a fin de garantizar que los negocios de sus clientes sean estables y legislativamente sólidos a largo plazo (y no sólo a tiempo para el plazo).
Una de las formas más efectivas de hacerlo es trabajando juntos en un plan de preparación para el cumplimiento. De esta manera, el proceso que conduce a la fecha límite del 25 de mayo puede ser empaquetado en pasos manejables.
Las empresas deben centrarse en las cuestiones clave para descubrir cuánto entiende un cliente sobre la RPI y cuán preparada está su empresa en este momento para aceptar los cambios:
- ¿Qué tan completo es su inventario de datos personales?
- ¿Cómo almacenan los datos actualmente?
Un plan claramente trazado y una estrategia comunicada pueden ayudar a delimitar los cambios que deben hacerse en las inversiones de las empresas y los clientes.
5. 5. Eduque a sus compañeros de trabajo sobre la legislación y la importancia de los datos personales
Mantener el cumplimiento de la RPI es una tarea de toda la vida de la empresa, y cada empleado debe ser educado a fondo sobre la importancia de los datos personales y las normas que se aplican para proteger esa información. Las empresas deben establecer un programa de capacitación de la GDPR para que los empleados aprendan sobre la ley de protección de datos y el valor de la información personal.
Esta capacitación debe abarcar esferas clave como la gestión y el manejo de los datos personales en la empresa, la comprensión de los derechos de las personas en lo que respecta a sus datos, la notificación de infracciones y la aplicación de procedimientos de gestión de incidentes y la forma en que las soluciones de terceros que utiliza la empresa también deben ser conformes.
Resumen
Las empresas de contabilidad deben tener un conocimiento sólido de la RPI y de cómo afecta a las operaciones básicas. En última instancia, la GDPR brinda a los contadores la oportunidad de ofrecer el apoyo de cumplimiento más adecuado a su empresa y a sus clientes y de garantizar la integridad de los datos personales.