GDPR: Deshágase del lastre de los datos


Cuatro años del Reglamento General de Protección de Datos
Michael Kleine-Beckel, abogado y miembro del consejo de administración de t.serv, conoce los retos y tiene recomendaciones para ponerlos en práctica. Catrin Schreiner, periodista especializada de Colonia, realizó una entrevista con el Sr. Kleine-Beckel para E-3 Magazine.

¿Cuál es la situación de las empresas cuatro años después de la introducción del RGPD?
Michael Kleine-Beckel, t.serv: Muchas empresas ya han aplicado medidas iniciales y depurado datos, otras están en la fase conceptual o ni siquiera han empezado todavía. "Preferimos esperar y ver qué pasa, no pasará nada" es una frase que sigo oyendo a menudo en las empresas. Sin embargo, esta actitud puede tener consecuencias devastadoras. Las sanciones por incumplimiento son severas. Aunque tengo que admitir que las empresas del sector de empresa a consumidor han sido hasta ahora más castigadas por el tratamiento incorrecto de los datos de los clientes. Pero merece la pena estar bien posicionado también en el sector de empresa a empresa, porque en algún momento la normativa será más segura jurídicamente y los controles más estrictos. Me imagino que en el futuro las autoridades utilizarán programas de auditoría automatizados en este contexto, al igual que hacen con las auditorías fiscales digitales. Los proveedores de software estarían entonces obligados a integrarlos en su solución.
¿Qué debe tenerse en cuenta al diseñar un enfoque del GDPR?
Kleine-Beckel: Por un lado, se trata de aspectos legales como los periodos de conservación de diversos registros de datos, por ejemplo las bajas por enfermedad y las solicitudes de vacaciones, así como los periodos de supresión, en los que hay que distinguir entre supresiones de tablas y supresiones completas de objetos. Cada registro de datos debe evaluarse individualmente, y de nuevo cada año. Por otro lado, están los aspectos técnicos. Muchas empresas se centran únicamente en los datos personales de los empleados y olvidan incluir los datos de clientes y proveedores, ¡pero éstos también cuentan como datos personales!
¿Por qué se enfrentan las empresas a este problema?
Kleine-Beckel: Hay varios escollos. Muchos simplemente se sienten abrumados por la gran cantidad de datos. Cuantas más personas de contacto tiene una empresa, más difícil es seguirles la pista. En caso de duda, una empresa ni siquiera se da cuenta cuando un solo empleado se va - entonces los datos simplemente se pierden. Además, las supresiones de tablas en particular son muy complejas y requieren una gran implicación con el sistema. Un error en el tratamiento de datos personales en los sistemas informáticos, como SAP HCM, es que los conceptos de borrado a menudo se desarrollan de antemano sin ningún conocimiento del sistema. Esto lleva a que partes del concepto sean parcialmente inutilizables durante la implementación porque no se han tenido en cuenta los determinantes del sistema para mantener la integridad de los datos.
¿Qué se aplica específicamente a los clientes de SAP?
Kleine-Beckel: A los profesionales de RRHH les gusta recopilar datos según el lema: "Lo que no tengo que borrar, lo guardo". El problema es que los clientes de SAP están obligados a convertir su sistema de RRHH a Success Factors o a la nueva solución H4S4 antes de 2027. Esta última se basa en una base de datos Hana que almacena los datos en memoria. Cuanta más memoria necesita una empresa, más cara resulta la base de datos. Por lo tanto, tiene sentido clasificar los datos únicamente por razones de coste. Por lo tanto, los responsables de RR.HH. deberían replanteárselo: todo lo que no es necesario conservar o no se necesita se va. Esto incluye, por ejemplo, la información de los currículos de los empleados que se remonta a años atrás. Por cierto, los empleados prestan cada vez más atención a lo que ocurre con sus datos, no sólo en su vida privada, sino también en el trabajo. La protección de datos aún no está tan presente como el tema de la sostenibilidad, pero sin duda va en aumento.
¿Hasta qué punto puede dar soporte un proveedor de servicios informáticos?
Kleine-Beckel: Bien mirado, la supresión de datos también es un proyecto como cualquier otro. Hay un procedimiento de proyecto normalizado que une todos los temas y participantes. Los proveedores de servicios pueden asesorar sobre el contenido, desarrollar una solución buena y conforme a la ley junto con el cliente y llevar a cabo la limpieza inicial de los datos. Para ello, deben estar formados técnica y profesionalmente. Es importante tener en cuenta que los proveedores de servicios no están autorizados a prestar asesoramiento jurídico. Esto significa que los clientes son responsables de la operación en curso.
¿Qué medidas concretas recomienda tomar a las empresas?
Kleine-Beckel: Recomiendo nombrar a un responsable interno de protección de datos con formación jurídica para garantizar el cumplimiento de la normativa. Además, deben asignarse empleados individuales a la eliminación centralizada de datos, no departamentos enteros. No obstante, es importante formar a todos los empleados de la empresa, porque es la única manera de lograr la seguridad del GDPR en el trabajo diario. Además, los datos desclasificados son la base para que las empresas construyan sus análisis sobre información actual y significativa. Esto es enormemente útil para nuevos tipos de análisis y procesos de toma de decisiones.
E-3: Gracias por la entrevista.