La primera pregunta es saber qué son datos personales. Lo que nos lleva a la siguiente cuestión: ¿cómo afecta el nuevo Reglamento a mi empresa? Para esto es vital conocer la terminología específica, por ejemplo “datos personales y alcance territorial”, “solicitudes de acceso datos”, “consultoría sobre el impacto de la protección de datos”, “derecho al olvido”, “portabilidad de datos” y “consentimiento”. El paso tres reside en preguntarse dónde están los datos en mi empresa. Pueden estar en los sistemas informáticos corporativos, en dispositivos personales de los empleados, en almacenes externos y en dependencias destinadas al archivo, sin olvidar la información que almacenan proveedores, subcontratas y empresas colaboradoras.
Las compañías tienen que dibujar un mapa de datos para saber dónde está la información y tener así una visión amplia que ayudaría a minimizar el riesgo y a una monitorización periódica. Paralelamente, deberán analizar y actualizar las políticas existentes para averiguar qué se puede hacer con la información y cuánto tiempo hay que conservarla. Esto contribuirá a garantizar que tanto los datos personales como otro tipo de datos solo se conserven y destruyan cuando sea necesario, cumpliendo así con obligaciones legales, normativas o contractuales de forma justificable. Finalmente, es crucial estar al día y tener capacidad de respuesta. Para poder lidiar con las normativas cambiantes, las políticas de conservación tienen que ser dinámicas y evolucionar a medida que sea necesario
El nuevo Reglamento de Protección de Datos de la UE se centra en proteger el derecho constitucional a la privacidad de los ciudadanos europeos y no impone ninguna obligación de conservación documental, pero si no se cumple puede tener consecuencias de largo alcance tanto financieras como reputacionales, lo que hace que una buena retención de documentos adquiera gran relevancia. Es absolutamente necesario que las empresas tengan en cuenta estos pasos para asegurar que pueden identificar fácilmente dónde se encuentran los datos personales dentro de su organización y que sean conscientes de cuáles son sus obligaciones a la hora de gestionarlos.