Reglamento General de Protección de Datos UE: 5 consecuencias para la industria de la impresión

El Reglamento General de Protección de Datos (GDPR) de la UE entra en vigor en mayo de 2018. Llegada esa fecha, si su organización gestiona datos de carácter personal , deberá cumplir con el reglamento, de no hacerlo podrá enfrentarse a multas de hasta 20 millones de euros o del 4 % de la facturación global anual.

Pero, ¿cómo impacta este nuevo reglamento en la industria de la impresión? Aquí hay cinco puntos de partida importantes:

1. >¿Que papel tiene su empresa en cuanto al tratamiento de datos personales? ¿Es «Responsable del tratamiento» y «Procesador de datos»?
El primer paso para cualquier empresa en la industria de la impresión es comprender si están clasificados como responsables del tratamiento o procesadores de datos. Ambos tienen obligaciones en virtud del nuevo reglamento. Un «responsable del tratamiento» determina los fines y los medios para los que se tratarán los datos personales (por ejemplo, un banco) y un «procesador de datos» procesa los datos personales en nombre del responsable del tratamiento (por ejemplo, una imprenta).

Puede que las organizaciones, independientemente de la clasificación, necesiten designar un encargado de la protección de datos (DPO, por sus siglas en inglés). Trabajando junto a otros departamentos, las tareas del DPO incluyen la vigilancia del cumplimiento de GDPR, asesorar e informar a la organización y a sus empleados acerca de sus obligaciones y actuar como el punto de contacto de las autoridades supervisoras y de los individuos cuyos datos se procesan.

2. Registro de actividades de tratamiento
Con arreglo al nuevo reglamento, tanto los responsables del tratamiento de datos como los procesadores de datos deben mantener registros de las actividades de tratamiento de datos y ponerlos a disposición de las autoridades supervisoras si así lo solicitan.

¿Cómo deberían realizar el seguimiento del flujo de datos los procesadores de datos? Una forma podría ser realizar ejercicios de asignación de datos que proporcionen una visión completa de los datos que se recopilan, procesan y almacenan y que rastreen el flujo de datos entre las unidades de negocio y los subprocesadores o terceros. También sería necesario repetir estos ejercicios de asignación cuando se produjesen cambios en la forma en que se recopilan los datos o en los sistemas, procesos o procedimientos que puedan cambiar a lo largo del ciclo de vida de los datos.

3. Derechos de las personas
Son esenciales la estrecha supervisión y el seguimiento de los datos personales para cumplir con el refuerzo de los derechos de GDPR para las personas, que pueden incluir el derecho a ser informadas, el derecho a la portabilidad de los datos y el derecho al borrado (también conocido como «el derecho al olvido»).

Digamos que una persona desea que se borren sus datos personales o, en su caso, que se interrumpa el tratamiento de los datos. A las empresas de impresión, como procesadores de datos, se les puede solicitar que ayuden a los responsables del tratamiento de datos con solicitudes de acceso. Esto requeriría que los procesadores de datos localizasen datos personales específicos para la eliminación o destrucción a instancias de un responsable del tratamiento de datos o de una persona.

4. Seguridad y privacidad a conciencia
La nueva ventanilla de GDPR para las notificaciones de violación de datos, que permite a los responsables del tratamiento de datos informar a las autoridades supervisoras en 72 horas, ha ganado una atención considerable. El GDPR también requiere que los procesadores de datos notifiquen a los responsables del tratamiento de datos sin demora después de tener conocimiento de una violación de datos personales.

Para evitar multas y el daño a la reputación que puede causar una violación de datos, la industria de la impresión debe mantener un estándar de seguridad más alto que nunca. Las empresas de impresión deberían implementar las medidas técnicas y organizativas adecuadas para asegurar un nivel de seguridad adecuado al riesgo.

Con la llegada de Internet de las Cosas (IoT) y más dispositivos inalámbricos con acceso a las redes, han surgido nuevas amenazas de ciberseguridad que tienen un impacto en la tecnología de la impresión. Las impresoras modernas y los dispositivos inteligentes requieren un enfoque de seguridad multicapa que abarca la prevención de intrusiones, detección de dispositivos, detección de documentos y datos y colaboraciones externas con especialistas en seguridad. Es imprescindible asegurar los datos personales, por ejemplo, mediante cifrado. Cuando ya no son necesarios los datos, se deben borrar de forma adecuada.

Además, características de los productos, como el control de acceso (lo que asegura que solo los usuarios autorizados tienen acceso a los dispositivos de impresión) e impresión segura (solo se liberan documentos de impresión cuando el usuario introduce su número PIN exclusivo) ayudan a resolver problemas de seguridad.

A medida que la tarea de investigar la seguridad se vuelve cada vez más incómoda, es probable que aparezcan con mayor frecuencia en los contratos los acuerdos de nivel de servicio de seguridad (SLA), incluido el compromiso con el cifrado de datos y la autenticación de dos factores.

5. Consolidación de red
Muchos proyectos de impresión transaccional utilizan múltiples socios para complicadas campañas de envío directo por correo (un agente para encartes, uno para cartas, uno para cotejo, etc.), lo que disminuye el control sobre el contenido y aumenta el riesgo de exposición.

Los requisitos del GDPR podrían dar lugar a un aumento en el negocio para los mayores OEM. Puede que los clientes busquen la seguridad de una ventanilla única que gestione los subprocesadores en todas las ubicaciones geográficas y proporcione infraestructura, seguridad e informes automatizados en un entorno controlado.

Con tan poco tiempo para que GDPR entre en vigor, es hora de prepararse para los cambios significativos que traerá a la industria de la impresión. Es hora de que las empresas de impresión, entre otras, evalúen su actividad de procesamiento de datos, busquen el asesoramiento de expertos y desarrollen un enfoque sistemático.

Póngase en contacto

Descubra cómo podemos ayudarle a que se ponga al día con el cumplimento de GDPR.

Póngase en contacto ›

Exención de responsabilidad

El contenido de este artículo se proporciona solo con fines informativos generales y no está destinado a ser utilizado como un sustituto de asesoramiento jurídico u opiniones. Xerox declina toda responsabilidad por las acciones u omisiones realizadas en base al contenido de este artículo.

Xerox emplea un equipo de privacidad central multifuncional encargado de garantizar la disponibilidad operacional como ciudadano global y proveedor de prestación de servicios. Confiamos plenamente en poder cumplir con nuestras obligaciones de cumplimiento en virtud del Reglamento General de Protección de Datos de la UE.