Dos años después: el GDRP obliga a RH a aumentar la seguridad
La industria de RRHH trabaja con datos personales que pueden tener enormes consecuencias si se filtran, dice el asesor de cumplimiento. Los permisos de conducir, los CV y la información personal de los empleados, en particular, se han visto afectados por las fugas de datos. Master International, uno de los principales proveedores europeos de herramientas de evaluación de RRHH, ha sido uno de los primeros proveedores en su campo en trabajar para obtener la declaración de cumplimiento más estricta. "Un subcontratista debe estar a la mejor de la información del RGPD", dice MHI Vestas.
Los empleadores en Europa han tenido ahora dos años para estar a la altura de la Legislación General de Protección de Datos (GDRP) de la UE desde su entrada en vigor el 25 de mayo de 2018. Cientos de miles de casos están en ejecución, y ha habido sanciones por varios cientos de millones de euros.
Dentro de la industria de RRHH, las filtraciones de CV y los datos personales de los empleados han caracterizado los casos hasta ahora.
"Una filtración de datos de RRHH, como información personal sobre empleados y solicitantes de empleo, puede convertirse fácilmente en el peor desastre que una empresa experimentará en términos de multas y reputación", dice Bo Thygesen, socio y consultor de ACI, una empresa de consultoría de TI que trabaja dentro de la gestión y cumplimiento de riesgos.
La compañía ha asesorado a Master International en relación con la consecución de la forma más estricta de cumplimiento del GDRP: Un ISAE 3000 tipo 2 que es una declaración anual sobre cómo proteger los datos personales, con documentación auditada externamente para asegurar el cumplimiento de las directrices de medición múltiple durante todo el año, es decir, prueba del cumplimiento de las directrices del GDRP.
Las grandes empresas y el sector público lo exigen
Para que la empresa obtenga la declaración ISAE 3000 Tipo 2, Master International ha dedicado varios años a la preparación, incluyendo una aprobación anual ISAE 3000 Tipo 1 durante dos años consecutivos, mientras que, en el último año, tres empleados han trabajado varias horas a la semana para lograr la declaración. Esto es una necesidad, dice el CEO.
"Las grandes empresas requieren una garantía de procesos de datos seguros de sus proveedores. Y nuestros clientes del sector público, en el último 1 año y medio, han visto como preferible que tengamos una declaración que no solo reclama, sino que también demuestra, que cumplimos con el GDRP. Cuando tuvimos la declaración un poco más suave tipo 1, tuvimos que responder a un montón de preguntas", dice Jesper Broberg, CEO de Master International.
Master International es uno de los primeros proveedores de pruebas de RRHH en lograr una declaración ISAE tipo 2.
"Hemos elegido obtener un ISAE 3000 tipo 2, para dar a nuestros clientes tranquilidad en cuanto a si ellos mismos, a través de sus subcontratistas, viven a la distancia del GDRP en sus procesos de RRHH", dice Jesper Broberg.
MHI Vestas: El cumplimiento se ha convertido en un elemento esencial.
MHI Vestas utiliza las soluciones Master International en Dinamarca para el reclutamiento que, entre otras cosas, incluye pruebas de personalidad de los solicitantes.
"Proporciona una imagen rápida y buena de con quién estás hablando, y crea una buena base para el diálogo", dice Michael Storm, Jefe de Reclutamiento de MHI Vestas Offshore Wind, que cuenta con más de 3500 empleados y es un actor global en energía eólica marina.
En MHI Vestas, el GDRP estuvo en el orden del día en toda la empresa durante un período de aproximadamente 1,5 años antes y después de la entrada en vigor de la directiva en 2018.
"Todos los departamentos se ven afectados, pero los recursos humanos se ocupan de una gran cantidad de datos personales sensibles, lo que significa que la prioridad del GDRP está por encima de la media con nosotros", dice Michael Storm.
"Esto significa que es un "imprescindible". Las declaraciones del GDRP, así como ISAE 3000, facilitan la evaluación y tienen claramente un impacto positivo. Si hay alguna duda, el Departamento Jurídico destacará el tema", dice.
Inforevision: Las pequeñas empresas también lo priorizan
Inforevision, que auditó la declaración Master International ISAE 3000 tipo 2, ha experimentado una creciente demanda desde mayo de 2018, y varios factores impulsan la motivación para el cumplimiento.
"Si usted recopila, procesa y almacena datos en nombre de los clientes, encontramos que más empresas quieren una declaración ISAE 3000 tipo 2. Incluso las pequeñas empresas. Lo ven como una ventaja competitiva, y sus clientes lo exigen. Y se les recuerda el riesgo cada vez que leen noticias sobre filtraciones de datos y sanciones. Así que esta es la forma en que vemos las cosas en el futuro", dice John Richardt S-bjorg, Socio y Contador Colegiado.
HECHOS: Cómo se llevó a cabo el proceso ISAE 3000 Tipo-2 de Master International
La empresa de consultoría y cumplimiento de TI, ACI, planeó un proceso de aproximadamente 48 mediciones que Master International tuvo que realizar repetidamente durante el año. Algunos se realizaban semanalmente, otros mensuales, mientras que otros se realizaban cada seis meses y anualmente. Una medida podría ser, por ejemplo, comprobar si el algoritmo de eliminación automática de Master International realmente eliminó a los candidatos cuya información ya no se les permitía poseer.
A partir de entonces, Inforevision preparó un plan de trabajo que se adaptó de manera única a Master International, con la documentación que querían ver, y lo revisó. Luego se quedaron con la compañía durante unos días e hicieron preguntas específicas sobre temas que les gustaría ver la documentación en el lugar.
HECHOS: ¿Qué es una declaración ISAE 3000 Tipo 2
Una declaración de "tipo 2" es más difícil de lograr que un "tipo 1", y la diferencia es principalmente que un tipo 1 contiene una instantánea del diseño y la implementación de los controles de la empresa.
Para un tipo 2, un auditor externo audita si los controles han sido efectivos durante un período de 12 meses.
