CUMPLIMIENTO RGPD

 

Con el nuevo RGPD (Reglamento General de Protección de Datos) con fecha vigente a partir del 28 de mayo, las empresas que todavía no están adaptadas al mismo deben tomar medidas a contrarreloj para cumplir la nueva ley.

En caso de que tu empresa sea una de ellas, te ofrecemos unos consejos de las medidas a tomar que te ayudarán a ordenar la puesta al día.

REVISA QUÉ TIPOS DE DATOS ESTÁN EN TU POSESIÓN:

Lo primero es conocer qué clase de datos tiene tu empresa, y su categoría:

– Datos personales (nombres y direcciones).

– Datos sensibles (de carácter más personal, como p.ej. datos médicos).

También hay que conocer:

  • Procedencia de esos datos.
  • De qué manera fueron conseguidos.
  • Para qué fin fueron obtenidos.

Se recomienda organizar auditorías internas para mapear esta información y realizar ajustes necesarios para adaptarse al reglamento. Para esto ha de conocerse correctamente la nueva RGPD y así actualizarse correctamente.

En caso de compartir con otra empresa datos obsoletos o erróneos, se debe informar a la misma para corregirlos.

OBTENER CONSENTIMIENTO PARA RECOPILAR DATOS:

Ahora todos los datos que se posean deberán haber sido obtenidos con previo consentimiento de su poseedor.

Cada persona deberá haber sido previamente informada del uso que tendrán estos datos, y su permiso solo valdrá si es libre y específico, no tácito.

– Debe informársele de su derecho a retirar dicho consentimiento en cualquier momento, y que este sea de forma sencilla.

– Conocerá el tiempo que serán almacenados esos datos, (y no deberá exceder del mismo).

No está permitido obtener datos mediante casillas premarcadas, o inactividad. Al afectar tanto a datos ya recopilados, como a los obtenidos en el futuro, debe comprobarse la metodología de obtención y adaptarse con cambios a la nueva normativa si fuera necesario.

Para el envío de e-mails, si son de carácter comercial y a no clientes, deberán contar con un botón de confirmación de suscripción, por lo que si no dan su consentimiento, no habrá autorización para enviarles e-mails comerciales.

En caso que los e-mails sea no comerciales, (como pueden ser felicitaciones), o e-mails a clientes, requerirán un opt-out (opción de darse de baja de los mismos).

Hay que establecer un sistema de destrucción de datos que quedan obsoletos una vez terminado su periodo de retención o haber sido obtenidos fuera de la reglamentación actual.

Actualizar la declaración de privacidad, términos y condiciones, y acuerdos cerrados con clientes.

REFERENTE A EMPLEADOS:

Informar a los trabajadores de qué trata el RGPD con sesiones informativas internas.

Igualmente informar a las nuevas incorporaciones de la plantilla en el futuro.

Adaptar el hardware, políticas de internet y redes sociales.

También contratos de trabajo y reglamentos laborales.

Crear un protocolo contra la violación de datos, para detectar, informar e investigar estos incidentes, que en caso de ocurrir se dispone de un periodo máximo de 72 horas para informar a las autoridades de control del propio país y en ciertos casos también a los afectados. En caso de incumplimiento el responsable se enfrentaría a sanciones legales.

Hay que asegurarse de que todo el personal entiende lo que son las violaciones de datos y que ejerce los procedimientos indicados.

COMO PROTEGER LOS DATOS:

Solo personal autorizado tendrá acceso a los servidores y datos.

Si se maneja gran número de solicitudes de acceso, el RGPD recomienda desarrollar un sistema on-line para permitir el acceso de los interesados a su información.

Se pone en marcha igualmente un sistema de protección de datos para menores de 16 años, que establece que no tienen autoridad legal para otorgar consentimiento respecto a entregar sus datos y que ello recae en sus padres o tutores.

Es igualmente recomendable documentar estos procedimientos como evidencia del cumplimiento de la RGPD, y también comprobar si es necesario contar con un Oficial de Protección de Datos.

Este último punto no es obligatorio para la mayoría de pymes, aunque el artículo 29 de la Directiva 95/46/CE del 24 de octubre de 1995 recomienda a las empresas tener a una persona responsable como muestra de buenas prácticas.

En cuanto a quién delegar esta responsabilidad, no es necesario un empleado encargado de la responsabilidad a tiempo completo, pudiendo ser un consultor externo o un trabajador de la plantilla con autoridad suficiente y que asuma el cometido siempre y cuando conozca toda la información pertinente en cuanto a praxis, responsabilidades, etc.

Como último paso, te recomendamos cerrar un acuerdo de procesamiento de datos (APD) con procesadores o subprocesadores de datos (que son personas ajenas a las empresas pero que trabajan para las mismas, que en este caso son asesorías, contables, o empresas de investigación de estudios de mercado).

Leave a Reply

Your email address will not be published. Required fields are marked *