Siete cuestiones que debemos conocer antes de la llegada del RGPD dentro de un mes
La entrada en vigor del nuevo RGPD el próximo 25 de mayo, apenas a un mes vista, va a suponer un cambio muy importante respecto a la protección de datos y el tratamiento que tienen que hacer de ellos las empresas en su relación con los clientes, pero también con otras compañías y sus propios empleados.
Queda muy poco tiempo para ponerlo todo en orden y mucho trabajo por delante, así que a modo de resumen queremos ofrecer algunas cuestiones que debemos conocer antes de la llegada del nuevo reglamento.
Y no basta con cumplir con la LOPD, cuyo nuevo reglamento incorpora nuevos derechos para los ciudadanos, pero también más obligaciones para las empresas. Por ejemplo, se incorporan nuevas categorías de datos especiales, como los genéticos y los biométricos. Basta con tener un sistema para controlar los horarios por huella digital para tener que incluir dichos datos como de especial protección.
Demostrar que se cumple con el RGPD
El nuevo reglamento es más garantista con los ciudadanos. El cambio fundamental está en lo que se llama el principio de responsabilidad proactiva, que implica que será ahora la empresa la que debe demostrar que cumple con la normativa y ha tomado las medidas necesarias para evitar un incidente.
Y esto es muy importante, porque no basta con cumplir las exigencias y despreocuparse, como ocurría con la LOPD. En todo momento, la empresa debe estar en condiciones de demostrar que cumple con los requisitos que impone el reglamento. En este sentido, si existe un problema y se han puesto en riesgo los datos de los clientes, la compañía dispone de 72 horas para comunicarlo a la AEDP o la autoridad que proceda en cada país.
¿Qué cambios debemos hacer?
Ya no bastará con el consentimiento tácito de los usuarios. La redacción del tratamiento de datos ha cambiado, por lo que es necesario recoger una nueva aceptación de las nuevas condiciones de protección de datos. Esto puede resultar bastante engorroso para las empresas, ya que significa recabar de nuevo la firma del documento de tratamiento de datos de sus clientes, pero también colaboradores o trabajadores.
Además, es necesario actualizar la redacción para adaptarla a los nuevos requisitos de los avisos de protección de datos que aparecen en páginas web o cualquier otro medio electrónico por el que la empresa se comunique con sus clientes. Un ejemplo es el disclaimer, o aviso que aparece al final del correo electrónico en muchas organizaciones.
¿Qué es delegado de protección de datos y qué empresas necesitan uno?
Para las organizaciones de mayor tamaño aparece una nueva figura de referencia, el delegado de protección de datos. Se trata de un profesional con conocimientos especializados en Derecho y protección de datos, que cuente con la experiencia necesaria y la formación adecuada. Además de informar y asesorar a las empresas, será el supervisor del cumplimiento del RGPD y la referencia para los titulares de los datos que quieran ejercer sus derechos.
Están obligadas a incorporar esta figura las empresas que realicen tratamiento de datos de forma masiva. Y será muy recomendable que también lo hagan aquellas que tratan datos especialmente protegidos.
Mi empresa solo realiza tratamiento de datos básicos, ¿qué necesito hacer?
Hay empresas que realizan un tratamiento de datos muy básico. En este sentido, la AEPD ha creado una herramienta que a modo de cuestionario online determina el nivel de tratamiento de datos que realiza la empresa. Para los casos más sencillos, genera una serie de documentos con las cláusulas informativas que se deben incluir en sus formularios de recogida de datos personales, contractuales.
También genera un anexo con las medidas de seguridad orientativas que debería cumplir. Pero, cuidado, tener dichos documentos no implica el cumplimiento automático del RGPD. Es interesante realizar dicho cuestionario, ya que, en el caso de necesitar un nivel de protección mayor, nos advierte de la necesidad de realizar un análisis de riesgos.
Los datos deben protegerse desde el principio. La empresa tiene que ser consciente en todo momento de los riesgos que asume y proteger los datos para evitar fugas o incidentes. Las empresas de gran tamaño tienen que llevar un registro de la finalidad del tratamiento, así como los datos implicados. Esto también afectará a las pymes que realicen un tratamiento que entrañe un riesgo para sus derechos y libertades.
Las empresas extracomunitarias también se ven afectadas si realizan operaciones o tienen clientes en la UE
La nueva legislación será de obligado cumplimiento para todas las empresas de la UE, pero también para aquellas que sin tener su sede en territorio comunitario operen dentro de este. Así que, si tenemos clientes dentro de la UE, habrá que cumplir con el nuevo RGPD. Esta es una garantía para los ciudadanos de la Unión, para que dichas empresas no se amparen en la legislación de sus propios países, que muchas veces son menos exigentes.
¿Qué son las transferencias internacionales de datos?
Es muy importante ser especialmente cuidadosos con las transferencias internacionales de datos. Muchas empresas ubican sus datos en la nube sin saber de forma fehaciente dónde se están guardando, si se trata de un país de la UE o no.
Lo mismo ocurre si se utilizan aplicaciones que transfieren datos a otras de forma automática. Un ejemplo muy común sería el caso de WhatsApp y Facebook, algo que muchas pequeñas empresas utilizan para comunicarse con clientes y donde la transferencia y seguridad de los datos puede ser un problema.
¿Qué sanciones puede sufrir mi empresa si no cumple?
Si no estamos todavía seguros de la importancia que tiene este RGPD, hay que tener en cuenta que las sanciones que puede sufrir nuestra empresa son muy severas. Un incumplimiento puede llegar a suponer el pago del 4 % de nuestra facturación o hasta 20 millones de euros. Y podrá ser sancionada incluso aunque no haya pérdida de los datos.
A un mes vista de la entrada en vigor del nuevo reglamento, conviene no dejarlo todo para el final. A poco que tengamos alguna exigencia especial, ya casi no llegaremos a tiempo, pues un análisis de riesgos para una empresa lleva su tiempo.
Carlos Roberto Cabello
Técnico de sistemas. Trabaja desde hace 15 años con empresas en el área de sistemas y atención al cliente para ayudarles a mejorar su relación con las nuevas tecnologías. Con un perfil mixto en ciencias y letras, Carlos Roberto cuenta con gran capacidad para traducir a un lenguaje “a pie de calle” explicaciones técnicas para usuarios que no cuentan con esos conocimientos.