¿Está listo el sector de productos frescos para el GDPR?

Gracias a la creciente atención de los medios a las filtraciones de datos y el fraude en Internet, las personas saben mejor dónde se almacenan sus datos. La seguridad de los sistemas de TI también está recibiendo más atención. En los Países Bajos, las regulaciones para la privacidad se establecen en el Reglamento General de Protección de Datos, o GDPR. Esta ley europea se implementará formalmente el 25 de mayo de 2018. Julien Spronck, gerente de ciberseguridad, y Meryem Sabotic-Deniz, director de auditoría y seguridad, de BDO, están asesorando a las empresas hortofrutícolas y de productos frescos, entre otras, sobre cómo prepararse. "La legislación de privacidad se detuvo durante mucho tiempo, y ahora se está haciendo un gran esfuerzo por ponerla al día, lo que requiere que las empresas tomen medidas. Establecer acuerdos claros siempre es mejor que no hacer nada".

A tan sólo seis semanas de que se implemente el GDPR, algunas compañías comienzan a inquietarse, según los asesores. "Las empresas saben que se acerca el GDPR, que las regulaciones son bastante estrictas, y que no habrá una prórroga después del 25 de mayo", dice Meryem. "Debido a que las situaciones de cada empresa pueden ser muy diferentes y la terminología puede ser bastante difícil de entender, recibimos muchas preguntas sobre cómo llevar a la práctica las regulaciones, para poder ser implementadas por las compañías. Creamos un plan de seis pasos con el fin de ayudar a los clientes. Las preguntas formuladas en el plan incluyen: ¿Qué información confidencial maneja tu empresa? ¿A qué riesgos se enfrenta tu compañía?

"Solemos comenzar haciendo un análisis rápido de nuestro cliente. Es muy diferente que una compañía consista en cinco empleados a tiempo completo, a que consista en 5.000, o que la empresa tenga actividad internacional o sólo en los Países Bajos", continúa Julien. "También es difícil evaluar cuan bien podrán contemplarse las regulaciones. Quizás las cosas no sean tan malas como parecen, pero es un hecho que las nuevas regulaciones se implementarán. La pregunta no es lo caras que serán las multas cuando haya una infracción, sino cómo demostrar que se tiene bajo control la privacidad de los datos confidenciales de manera decente como compañía. Todas las organizaciones trabajan con datos personales, por lo que concierne a todo el mundo. Una política de privacidad no requiere inmediatamente medidas grandilocuentes, pero sí debe describir la identidad del cliente, qué hace y qué derechos tiene, o explicar por qué se necesitan sus datos, y por qué se están almacenando o no".

"Las direcciones tienden a delegar algunas cosas como el GDPR a un contador, por ejemplo, pero eso no debería ocurrir de acuerdo con la ley", advierte Meryem. "Naturalmente, un director o presidente de la junta directiva no tiene que resolverlo todo por sí mismo, pero sí tiene la responsabilidad final. En la práctica, hemos visto proyectos supervisados por la dirección que tienen mucho más éxito que cuando se nombra a otra comisión".

"En el sector de productos frescos, la calidad de los datos en particular es un tema candente. Debido a los márgenes ajustados, las empresas buscan la optimización de la cadena de suministro. Con ese fin, se recopilan muchos datos usando múltiples herramientas, pero la seguridad y la información a menudo son escasas. Por lo tanto, es importante evitar pérdidas de datos", dice Meryem. "Estos datos están a menudo en manos de operadores de sistemas externos, aunque no es excusa, porque incluso empleando estos operadores eres responsable de asegurarte de que todo sea seguro. A veces, eliminar las copias de seguridad para los proveedores de software requiere mucho trabajo y más ajustes de lo que inicialmente se pensaba. Sin embargo, esto no debería ser motivo para que el proveedor de TI se quede atrás. Hemos observado que muchas empresas tienen mucho trabajo que hacer en el campo de la automatización en este aspecto".

"Los clientes también tienen dificultades con los aspectos legales. El documento de un procesador se considera un documento legal, y nada puede cambiar eso. Por lo tanto, siempre aconsejamos a nuestros clientes que hablen claro con sus socios, para que ambas partes comprendan exactamente qué requisitos se deben cumplir. Es una solución mucho mejor que no llegar a ningún acuerdo y terminar discutiendo sobre quién es el culpable", explica Julien, quien piensa que el GDPR es un buen avance para la privacidad. "Estoy de acuerdo al menos con el 80 por ciento de la legislación. Las compañías en la cadena de suministro harán acuerdos sobre asuntos de privacidad, y también he visto que los operarios de la cadena se han comprometido a hacer esto bien. Un ejemplo práctico son las empresas que suelen solicitan visados para sus colegas que se van al extranjero, y entregan una copia de los pasaportes de los mismos sin pedir permiso primero. Gracias al GDPR, ahora se redactarán documentos para que los colegas puedan dar permiso para usar esta información".

"Sin embargo, el GDPR no es una ley rígida, y depende mucho de las características específicas de la organización. No se puede simplemente copiar una plantilla de otra compañía, el GDPR obliga a cada empresario a examinar su propia situación. En mi opinión, se está más obligado a hacer esfuerzos que a mostrar los resultados. Mediante la elaboración de la propia política de privacidad y datos, se puede realizar un análisis de riesgos sobre lo que es y lo que no es relevante para una empresa. La regla de oro es usar el sentido común. Registrar los acuerdos y ser transparente al respecto, puede llevar mucho trabajo, pero al menos ya estará la mitad hecho".