Faltan muy pocos meses para que se implemente el Reglamento General de Protección de Datos (RGPD) en toda la UE, que será aplicable el próximo 25 de mayo.
Esta normativa, refuerza los derechos de los ciudadanos sobre su información personal, por lo que las empresas cuentan con poco tiempo para garantizar que su política de protección de datos es totalmente compatible. Aunque en España se encuentra en tramitación parlamentaria una nueva Ley Orgánica de Protección de Datos, para adaptar la ley española a las exigencias europeas, el Reglamento General es directamente aplicable y, por lo tanto, las empresas y sus responsables del tratamiento de protección de datos deben tener presente que es la norma de referencia. Si no se cumple, las empresas se verán penalizadas.
¿Qué es el RGPD?
El RGPD es un conjunto de normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de los mismos. Se relaciona con la forma en que una empresa manejará los datos que usan (datos como un nombre, un número de identificación, datos de localización, imágenes faciales o datos dactiloscópicos, etc.). Esto significa que tu empresa ahora será responsable de notificar a quienes visiten su página web qué información está recopilando, cómo se está almacenando y, en muchas ocasiones deberá permitir a quienes así lo quieran, el derecho a que se elimine su información, “derecho al olvido”.
¿Qué debes considerar antes de la efectiva introducción en mayo del RGPD?
Es muy importante que tu empresa se planifique y ponga en funcionamiento una serie de procedimientos que demuestren que cumples con los requisitos establecido por el RGPD. Este Reglamento se aplica no solo a las empresas establecidas en la UE sino también a aquellas empresas de países que ofrezcan productos o servicios a ciudadanos en la Unión o monitoricen su comportamiento en la Unión. Así pués, muchas empresas están afectadas por este Reglamento. Aquí te damos unas pautas a tener en cuenta si tu empresa es una de ellas:
1. Obligación de realizar un análisis de riesgos
Cualquier tratamiento de datos personales va a implicar la necesidad de considerar la existencia de un riesgo. Por ello, debes pasar a analizar los riesgos que supone tratar esos datos en tu actividad para poder adoptar las medidas de seguridad adecuadas para mitigarlos. Deben tenerse en cuenta los riesgos que se derivan del tratamiento de los datos personales, como: la destrucción, la pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados, o la comunicación o acceso no autorizados a dichos datos, capaces de ocasionar daños y perjuicios físicos, materiales o inmateriales.
Además, ten en cuenta que si se produce cualquier incidente en la empresa que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales tienes el deber de notificarlo a la Agencia Española de Protección de Datos. Esto puede pasar, por ejemplo, si se pierde un ordenador portátil o si se produce un acceso no autorizado a las bases de datos de la empresa (incluso por su propio personal). Deberás notificar esta circunstancia en un plazo máximo de 72 horas a contar desde que tengas conocimiento de la misma.
2. Realizar evaluaciones de impacto
Una Evaluación de Impacto (EIPD) es básicamente un ejercicio de análisis de los riesgos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo y, como consecuencia de ese análisis, la gestión de los mismos mediante la adopción de las medidas adecuadas para para reducirlos de forma que se consiga minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados.
3. Registro de actividades
Los responsables y los encargados del tratamiento (que se encuentren obligados) deberán mantener registros de las actividades de tratamiento que se encuentren bajo su responsabilidad siempre actualizados. Registro en el que se contenga la información que establece el RGPD, cuestiones como: Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos, si existe; finalidades del tratamiento; descripción de categorías de interesados y categorías de datos personales tratados; transferencias internacionales de dato, etc. Este registro debe constar por escrito y, en todo caso, en formato electrónico. Por otro lado, el registro debe estar a disposición de la autoridad de control que lo solicite.
4. Destrucción segura de la información confidencial
Los interesados tendrán derecho a obtener la supresión de los datos personales que les conciernan de forma rápida y profesional cuando concurran alguno de los supuestos incluidos en el reglamento o cuando, simplemente, haya desaparecido la finalidad para la que se recabó aunque con alguna excepciones, por ejemplo cuando deba prevalecer el derecho a la libertad de expresión e información.
5. Avisos de privacidad
Con carácter general, las empresas deberán revisar sus avisos de privacidad y establecer un plan para hacer los cambios necesarios para adaptaros a la normativa. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que antes no eran necesariamente obligatorias. Por ejemplo, hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados, los períodos de retención de los mismos y que los interesados pueden dirigir sus reclamaciones a las Autoridades de protección de datos. El Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso. Además y muy importante, el interesado debe dar su consentimiento de forma libre, específica, informada e inequívoca. Esto quiere decir que el silencio, la inacción o una casilla que se encuentre ya preseleccionada, no serán válidos.
6. Redactar el Documento de Seguridad
Debes documentar el procedimiento de seguridad aplicable a tus ficheros de datos personales. El documento de seguridad es obligatorio en el momento que tengas archivos o ficheros de datos personales de tus clientes, resume todo aquello relativo al tratamiento de datos personales dentro de tu actividad profesional: ficheros inscritos, empleados que acceden a los datos, sistemas de seguridad instalados, etc.
7. Incorporación de un delegado de protección de datos
El DPD o DPO, por sus siglas en inglés (Data Protection Officer), ejerce la labor de defensor del ciudadano en el seno de la empresa. Deberá acreditar sus conocimientos y estar certificado para realizar esta tarea. Es el propio Reglamento el que determina las organizaciones que deberán nombrar un DPD. En su 9ª sesión anual abierta, la AEPD a título enunciativo y no exhaustivo, señala que deben tener un DPD las siguientes entidades:
- Entidades aseguradoras y reaseguradoras
- Distribuidores y comercializadores de energía eléctrica o gas natural
- Entidades responsables de sistemas de información crediticia
- Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o elaboración de perfiles
- Centros sanitarios
- Centros docentes que ofrezcan enseñanzas regladas, universidades
- Colegios profesionales
- Entidades dedicadas al juego on line…
8. Sanciones
El RGPD introduce una serie de sanciones para las empresas que no cumplan totalmente con las nuevas reglas. Las empresas se enfrentan a multas de mayor cuantía en caso de incumplimiento porque priman los derechos de los usuarios frente a los intereses comerciales. Todas las autoridades de protección de datos tendrán la facultad de imponer multas de hasta 20 millones de euros o, en el caso de una empresa, el 4 % de su volumen de negocios anual mundial.
Recuerda que en Rocket Lawyer disponemos de una red de abogados que pueden ayudarte en todo este proceso.
