Uso del RPA para ayudar al cumplimiento de la RGDP

El elefante en cada sala de juntas ahora mismo es el RGDP, la inminente y significativa actualización de la antigua Directiva de Protección de Datos. Aunque, a partir del 25 de mayo de este año, las organizaciones que no cumplan con las nuevas normas podrían enfrentarse a fuertes multas, parece que sólo una pequeña proporción de las empresas están trabajando proactivamente para cumplir con esas regulaciones. Muchas están adoptando un enfoque de “esperar y ver”, o (peor aún) “esperar hasta la auditoría”. Y luego, cuando llegan las solicitudes de los clientes que preguntan por los datos que se tienen sobre ellos, esperan desplegar un ejército de administradores para resolver el problema. Esta actitud es optimista en el mejor de los casos, y temeraria en el peor.

Para entender por qué, examinemos primero cuáles son los cambios clave en las regulaciones y cómo afectarán a los negocios.

  • Probablemente el mayor cambio con respecto a la antigua directiva es el aumento del ámbito territorial, lo que significa que se incluye a cualquier empresa que procese datos personales de personas que residan en la Unión Europea, tanto si la empresa está ubicada en la UE como si se requieren pagos como parte del servicio.
  • Cualquier empresa que incumpla la normativa de la UE puede ser multada hasta el 4% de la facturación anual global o 20 millones de euros (lo que sea mayor). Las multas son escalonadas, pero incluso el hecho de no tener sus registros en orden, o de no llevar a cabo una evaluación de impacto, podría acarrear una multa del 2% del volumen de negocios mundial anual.
  • El consentimiento debe ser “claro y distinguible de otros asuntos”, y debe ser tan fácil de retirar como de darlo.
  • Los datos deben incluir la privacidad por diseño. Este requisito legal significa que “el responsable del tratamiento deberá… aplicar las medidas técnicas y organizativas adecuadas… de manera eficaz… para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.

Este último requisito es el más relevante para el papel de la automatización en el mantenimiento del cumplimiento de la normativa de la RGDP. Los interesados tienen una serie de derechos, los cuales requieren un esfuerzo y un costo para llevarlos a cabo. Por ejemplo, todos los interesados tienen derecho a:

  • ser notificado de las violaciones de los datos “sin demoras indebidas”;
  • acceder a sus datos personales y comprender cómo se están procesando, así como a recibir copias electrónicas de todos los datos que se les proporcionen;
  • ser olvidado, lo que incluye que se borren todos sus datos personales, que se detenga la difusión posterior de los datos y (si procede) que terceros dejen de procesar los datos; y
  • portan sus datos a otro controlador de datos, recibiendo sus datos personales en un “formato comúnmente usado y legible por máquinas”.

No es difícil ver el desafío que las empresas probablemente enfrentarán con todas las solicitudes de acceso, borrado y portabilidad de datos. Sin esa privacidad por diseño, muchas empresas tendrán dificultades para cumplir, y por lo tanto se enfrentarán a fuertes multas.

La automatización, y en particular la automatización de procesos robóticos puede proporcionar capacidades muy útiles para ayudar a las empresas a hacer frente a estos nuevos desafíos. Al automatizar esos procesos repetitivos y basados en reglas, una empresa puede gestionar los picos y las caídas de la demanda sin tener que preocuparse por el incumplimiento o la violación de los SLA.

Por supuesto, el RPA no es la varita mágica que proporcionará un cumplimiento inmediato de la RGDP – hay muchos otros aspectos que también deben estar en su lugar – pero ciertamente da a las empresas una gran oportunidad para ayudar a mantener y gestionar su cumplimiento después de la fecha límite del 25 de mayo.

Tags: RPA