Si su empresa procesa información relacionada con los clientes para personas ubicadas en la Unión Europea (UE), entonces no es el único que piensa que el Reglamento General de Protección de Datos (GDPR) que entrará en vigor el 25 de mayo de 2018, afectará a su práctica.
Cómo afecta a una empresa de contabilidad (y a sus clientes), así como la forma en que debe prepararse para el cumplimiento de la RPI, es lo que todo el mundo se apresura a entender antes de que la nueva ley entre en vigor. De hecho, dos tercios de las empresas estadounidenses creen que la normativa les obliga a replantearse su estrategia en Europa, y el 85% espera que les ponga en una situación de desventaja competitiva con respecto a las empresas europeas.
La incertidumbre generalizada ha causado noches de insomnio, pero ¿qué es lo que realmente requiere la RPI? Además, ¿cómo se puede ganar en tranquilidad comprendiendo cómo afecta a su empresa de contabilidad?
Continúe leyendo para obtener un rápido repaso de los orígenes de la GDPR y una útil lista de verificación para ayudarle a prepararse para esta importante nueva regulación:
¿Qué es la GDPR?
El GDPR fue creado en 2016 por el Parlamento Europeo, el Consejo de la UE y la Comisión Europea para reforzar y unificar la protección de datos de los clientes y las personas en la UE. Independientemente del lugar en el que se encuentre una empresa, si maneja la información personal de cualquier persona que se encuentre en la UE, debe cumplir con estas regulaciones y respetar los derechos digitales de los ciudadanos de la UE protegidos por el reglamento.
¿Qué tipo de datos regula la GDPR?
La GDPR regula todos los datos de consumidores de la UE recogidos por un controlador de datos (una persona que por sí sola, conjuntamente o en común determina la forma en que se procesan los datos personales) o un procesador (alguien que actúa en nombre del controlador, como un proveedor de nóminas), incluidos, entre otros, un nombre, una foto, una dirección de domicilio o de correo electrónico, datos bancarios, publicaciones en medios sociales, información médica o incluso una dirección IP.
En el caso de las empresas de contabilidad, esto incluye todos los datos reunidos a efectos de contabilidad, impuestos, procesamiento de nóminas y muchas otras formas de información personal que puedan utilizarse durante un proceso de contabilidad. Esto también puede afectar en general a una práctica contratada por un cliente, porque un contador «determina qué información debe obtener y procesar para hacer el trabajo», mientras que las empresas actúan como «controladores en común» con los clientes.
Lista de preparación de la RPI
La UE ha previsto un período de transición de dos años para que las empresas y los negocios conozcan la reglamentación y se adapten a las nuevas normas. Ahora, con el plazo de aplicación acercándose rápidamente, es el momento de asegurarse de que tienen sus protocolos de seguridad para proteger tanto a sus clientes como a su negocio.
La preparación de la RPI puede comprobarse revisando esta lista básica de siete puntos:
- Haga una presentación sobre el GDPR a los directivos superiores para ayudarles a comprender las multas, la publicidad negativa y las demandas colectivas que pueden conllevar el incumplimiento.
- Revise las políticas de consentimiento de sus clientes para asegurarse de que todas las personas en sus listas han optado y dado su permiso para que usted recoja y almacene sus datos.
- Confirme que su configuración de privacidad predeterminada está establecida según los estándares más estrictos posibles.
- Trazar un mapa de los datos existentes en su empresa, incluyendo el tipo, la ubicación y los procesos de acceso, almacenamiento, respaldo y control, incluyendo el acceso por parte de los subcontratistas y los proveedores de la nube; asegurar que los datos recién recolectados se recogen con el consentimiento y se enrutan en este proceso existente.
- Confirme que dispone de tecnología que puede detectar e investigar las violaciones de datos para no ser informado de una pérdida de datos por una autoridad de protección de datos o directamente por sus clientes.
- Preparar un plan de comunicación en caso de violación de datos que responda a las preguntas de los clientes y la prensa; identificar un portavoz de la empresa e incluir un protocolo de respuesta a las peticiones de campo fuera del horario de oficina habitual.
- Crear un proceso para proporcionar datos a los clientes en un formato legible por máquina que tenga en cuenta la respuesta rápida a las solicitudes, la recopilación de datos de todas las fuentes y la entrega dentro de un plazo razonable; asegurar que este proceso también tenga en cuenta las solicitudes de eliminación de datos.
Pensamientos finales
Tal vez más que la mayoría de las nuevas regulaciones, el GDPR se considera que introduce complicaciones estresantes en los procesos comerciales de su empresa de contabilidad. Usted puede mitigar ese estrés con un enfoque cuidadoso de la forma en que recopila, almacena y protege los datos de sus clientes – dondequiera que vivan – para estar bien encaminados para cumplir con la intención de la GDPR.
El paso final para una preparación significativa para el cumplimiento de la normativa de la RPI es trabajar con un socio tecnológico que pueda aplicar su experiencia en seguridad de datos para confirmar los detalles técnicos necesarios y construir un sistema de gestión de la información para su empresa y sus clientes teniendo en cuenta la privacidad de los datos.