La nueva ley de protección de datos de la Unión Europea (Reglamento General de Protección de Datos, RGPD) ya está aquí y afecta de forma directa a los responsables de formación y desarrollo. Con su entrada en vigor el 25 de mayo de 2018, todas las empresas han tenido que implementar las nuevas medidas de protección, seguridad y gestión de datos, no sólo de sus clientes europeos, sino también de sus empleados, candidatos a un puesto de trabajo o usuarios de un Learning Management System (LMS).
En este artículo te contamos todo lo que tienes que saber sobre la nueva ley de protección de datos y cómo adaptarte a ella desde el departamento de formación y desarrollo.
La nueva ley de protección de datos (RGPD)
Después de varios años de negociaciones y de su aprobación en 2016, la ley de protección de datos de la Unión Europea busca adaptarse a los nuevos tiempos de Internet y ofrecer una mayor protección a los ciudadanos europeos. En un contexto de mayor preocupación sobre el uso de la información personal, con empresas que acumulan millones de datos en sus servidores y nuevos retos de privacidad y seguridad, la RGPD crea nuevos estándares y supone una transformación radical en la gestión de datos que hacen las empresas.
Entre las nuevas modificaciones que incluye la ley, las compañías están ahora obligadas a pedir permiso específico cuando traten con información sensible de sus clientes, a implementar medidas de seguridad más estrictas, a avisar de forma activa de cualquier fallo o ataque a sus sistemas informáticos y a permitir que los usuarios modifiquen o eliminen sus datos.
Además, aunque una empresa no se encuentre físicamente en la Unión Europea, siempre y cuando gestione datos de ciudadanos europeos, tendrá que seguir al pie de la letra la RGPD.
Aquellas compañías que violen la nueva normativa europea pueden sufrir multas de hasta 20 millones de euros o el equivalente al 4% de su facturación global.
En España, esta nueva ley de protección de datos sustituye a la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), aprobada en 1999.
Tal vez le interese: ADA GDPR, el curso-videojuego para la formación en la nueva ley de protección de datos de la Unión Europea
¿Cómo afecta la RGPD a los departamentos de formación y desarrollo?
Como profesionales que obtienen y gestionan información personal de los empleados, los responsables de formación y desarrollo también tienen que cumplir la nueva ley de protección de datos. En cuestiones como la oferta formativa, la gestión de los LMS y sobre todo la propia formación de los empleados (de este tema hablaremos en profundidad más adelante), es importante tomar medidas para adaptarse a la nueva legislación. Estos son los cinco puntos más importantes:
1. Auditoría y notificación a los empleados
Lo primero que tienes que hacer es saber qué tipo de datos tienes de tus empleados y para qué los estás utilizando. Puede resultar muy útil hacer un inventario de toda la información con la que cuentas y el objetivo concreto de su gestión y almacenamiento.
Además, es recomendable que te pongas en contacto con los trabajadores para explicarles la nueva legislación y sus derechos. Aunque antiguamente los empleados también tenían que dar su consentimiento, la nueva ley de protección de datos explicita que se necesita la voluntad “libre, específica, informada e inequívoca” de los trabajadores.
2. Sólo con un propósito y durante un período de tiempo
La RGPD explica que los datos de los empleados sólo pueden ser almacenados con un propósito concreto y durante un período de tiempo determinado. Si has solicitado información de tus trabajadores para realizar un curso de formación en mayo, por ejemplo, no podrás utilizarla para otra iniciativa formativa en noviembre.
Si se da el caso de que en tu empresa hay muchos trabajadores temporales, autónomos o freelance, la nueva ley de protección de datos europea podría obligarte a borrar sus datos una vez que han dejado la organización (a no ser que te hayan dado su consentimiento previo).
3. Transparencia y flexibilidad en la protección de datos
Los empleados tienen ahora el derecho a saber qué información tiene la compañía sobre ellos, para qué la está utilizando y dónde está almacenada. Los trabajadores pueden solicitar en cualquier momento el acceso a esta información, por lo que debes contar con un sistema que sea capaz de responder a las demandas de tus empleados. Además de eso, estás obligado a asegurarte de que toda la información es correcta y está actualizada.
La compañía también está obligada a informar a los empleados de por qué está recopilando sus datos y éstos no pueden utilizarse para otro objetivo sin notificar a los trabajadores. Los empleados pueden ahora además retirar su consentimiento en cualquier momento, por lo que debes contar con un sistema flexible y fácil de actualizar.
4. Seguridad en la protección de datos
Como es lógico, tu prioridad número uno es asegurarte de que no se produce ningún fallo de seguridad y de que los datos de tus empleados están protegidos. Para ello, es necesario que la obtención, procesamiento y almacenamiento de datos esté encriptada (así como las transmisiones y comunicaciones -por ejemplo, el envío de emails o documentos-).
En el caso de se produjera un robo de datos o cualquier acceso no autorizado a la información de los empleados, es obligatorio que les informes en menos de 72 horas. Cualquier empleado que pudiera sufrir daños («a sus derechos y libertades») por este robo debe ser informado “sin dilación indebida”, según la propia RGPD.
En función del tamaño de tu empresa y del tipo de información que gestiones, también podrías estar obligado a contar con un delegado de protección de datos.
5. La nueva ley de protección de datos y tu LMS
Los cuatro puntos anteriores son de vital importancia para gestionar tu Learning Management System (LMS), donde probablemente almacenas y gestionas el grueso de la información de tus empleados. A riesgo de resultar redundantes, asegúrate de que:
- todos los usuarios del LMS dan su consentimiento explícito para que almacenes y gestiones sus datos, con un objetivo concreto y un período de tiempo determinado.
- cualquier usuario puede solicitar una copia de toda la información que guardas sobre él, incluida una explicación de con qué propósito y si está siendo utilizada por terceras partes.
- los empleados deben poder denegar su consentimiento o eliminar su información en cualquier momento.
- habla con tu proveedor de LMS (y con cualquier otro proveedor de cursos de formación) para asegurarte de que sigue la nueva ley de protección de datos.
Tal vez le interese: Gamelearn, la plataforma game-based learning más premiada del mundo (y adaptada al 100% a la RGPD)
¿Cómo formar a tus empleados en la nueva ley de protección de datos, RGPD?
De todas tus misiones como responsable de formación y desarrollo, probablemente la más importante sea garantizar en tu empresa el conocimiento sobre la nueva ley de protección de datos.
Aunque la RGPD no es demasiado específica, sí que menciona como elemento importante “la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales” (artículo 47). Es decir: tus empleados necesitan conocer en qué consiste la RGPD para poder respetar los derechos de los ciudadanos europeos (y de paso ahorrarle a la compañía las sustanciosas multas).
Para lograr una formación exitosa en la nueva ley de protección de datos, te recomendamos seguir los siguientes consejos:
1 – Empieza por ti. Antes de lanzar un programa de formación entre tus empleados, aprovecha la oportunidad para liderar el camino y formarte a ti mismo. De esta forma no sólo conocerás las bases de la RGPD, sino que además tendrás el background necesario para elegir la mejor oferta formativa para la empresa.
2 – Revisa los cursos que ya estás ofreciendo. Es importante que adaptes los actuales cursos formativos (de relación con el cliente, ciberseguridad, gestión de datos…) que ya están haciendo (o van a hacer) tus empleados y de que te asegures de que todos ellos recogen los cambios introducidos por la RGPD.
3 – Adapta la formación a los distintos perfiles. No todos los empleados necesitan tener el mismo conocimiento sobre la nueva ley europea de protección de datos. En función del tipo de datos que obtengan y gestionen, su nivel de comprensión de la RGPD puede variar considerablemente. Aunque es recomendable que todos los empleados de la compañía estén concienciados y conozcan sus bases, esto es especialmente así en el caso de perfiles como:
- personal de atención al cliente
- equipos de marketing
- departamentos de análisis de datos o big data
- recursos humanos (es muy importante la gestión que hacen de los datos de los empleados, pero también de los candidatos que se presentan a una oferta de trabajo)
- departamentos de informática, tecnología y telecomunicaciones (en particular en aquellas plataformas que obtengan y almacenen datos de los clientes)
- equipos legales dentro de la empresa
- responsables más sénior de la compañía (para que sean conscientes de los retos de la RGPD y lo puedan transmitir a sus equipos)
4 – Asegúrate de poder actualizar los contenidos. En vista de los rápidos cambios tecnológicos y sociales que estamos viviendo, probablemente esta no sea la última vez que la ley de protección de datos vaya a cambiar. Intenta ofrecer una formación que pueda revisarse y actualizarse de forma rápida y sencilla, añadiendo las posibles particularidades de tu negocio.
5 – El contenido es el rey. En una ley de estas características, con 88 páginas y 99 artículos (aquí tienes el texto completo), es de vital importancia que los contenidos sean claros y sencillos, que toquen los puntos clave de cada apartado y que se adapten a los perfiles de los empleados. La RGPD está llena de lenguaje técnico y burocrático, así que asegúrate de que los contenidos de tus cursos de formación están en un idioma que tus empleados entienden.
6 – Una formación sin fronteras. Si trabajas en una multinacional, asegúrate de que todos aquellos que trabajan con datos de ciudadanos europeos reciben la formación. Recuerda: aunque algunos departamentos de tu empresa no se encuentren físicamente en la Unión Europea (incluso toda la empresa puede estar en otro país), éstos se pueden ver afectados por la RGPD si obtienen, almacenan o gestionan información de ciudadanos europeos.
7 – Gamifica la formación. Para este tipo de cursos de compliance, llenos de explicaciones técnicas, es importante hacer la formación atractiva e interesante. Para ello, utiliza la gamificación y los videojuegos. De esta forma conseguirás incrementar el engagement y el interés de los empleados, transformando la formación en una experiencia divertida. El videojuego ADA GDPR, por ejemplo, transforma la comprensión de la nueva ley de protección de datos europea en una aventura postapocalíptica para salvar el planeta.
No te olvides de lo más importante…
Teniendo en cuenta las obligaciones diarias de los empleados y el carácter técnico de la RGPD, se corre el riesgo de que tus iniciativas de formación se conviertan en un mero trámite burocrático. Pero, además de entender y de aplicar las normas establecidas por la nueva ley de protección de datos, es importante que todos los empleados comprendan lo que se esconde detrás de la nueva legislación: los derechos de los ciudadanos europeos. La RGPD busca proteger la forma en la que se almacenan y se gestionan sus datos, algo cada vez más importante en la era digital; y esto es lo que nunca podemos olvidar desde el departamento de formación y desarrollo.
