El incumplimiento del Reglamento General de Protección de Datos (RGPD) puede conllevar multas y sanciones que alcanzan los 20 millones de euros

Este asunto debe preocupar a los empresarios

Ya ha transcurrido casi un año. El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos (RGPD). Una normativa europea que sustituía a la antigua LOPD, y que afecta a todos aquellos autónomos o empresas que recopilen o utilicen cualquier tipo de datos personales de terceros de cualquier punto de la Unión Europea.

Los datos no son alentadores: según cifras publicas a principios de año, el 70% de las empresas españolas continúan sin adaptarse a la normativa. Así las cosas, la gran mayoría de pymes y trabajadores por cuenta propia se exponen a gravosas sanciones por incumplimiento de Ley. De hecho, las multas ya se han producido y nos son precisamente leves.

Datos

El origen

Los datos, nuestros datos, se han convertido en un gran activo para los negocios. Tanto es así que llegó un momento en que era tal el número de compañías que disponían de nuestro teléfono, nombre, dirección o conocían nuestros gustos, preferencias o nivel adquisitivo que la Unión Europea decidió tomar cartas en el asunto.

En los últimos años se han puesto en marcha diversas normativas para limitar el uso de nuestros datos y hacer que podamos saber en todo momento quién tiene acceso a ellos, para qué puede usarlos y cómo los ha conseguido.

La medida más importante fue el Reglamento General de Protección de datos (RPGD) que entró en vigor en mayo de 2016 y que desde el 25 de mayo del año pasado es de obligado cumplimiento en España.

Su incumplimiento puede conllevar multas y sanciones que alcanzan los 20 millones de euros, en el peor de los casos. La cuestión es importante y debe preocupar a los empresarios.  Sin embargo, aún hay rezagados que siguen sin aplicar las nuevas normas o no lo hacen correctamente.

Candado

Qué y cómo hacerlo:

Deber de información

Debe informarse a los titulares de los datos de quién es el responsable del tratamiento, las finalidades que se persiguen, si existen cesiones a terceros y la dirección postal o electrónica donde el titular pueda solicitar sus derechos de acceso, rectificación, cancelación y oposición.

Todas las empresas están obligadas a informar por cualquier canal a sus clientes de estos cambios.

Consentimiento explícito

El consentimiento para el tratamiento de datos deja de ser tácito. Ya no vale que se dé por hecho, debe de haber una clara acción afirmativa. De hecho, el responsable de los datos debe tener pruebas de ese consentimiento.

En este sentido, la Agencia Española de Protección de Datos (AEPD) nos ofrece una guía en la que aclara la forma de actuar.

Registro de actividades

El RGDP obliga a informar, tanto a los propios usuarios como a la AEPD, sobre la recopilación de los datos y el objetivo de la misma.

La antigua inscripción de ficheros (vigente con la anterior LOPD 15/1999) es ahora sustituida por el registro de actividades de tratamiento efectuadas por cada responsable y, en su caso, encargado del tratamiento de datos. Ese registro incluye, entre otra información, los fines, las categorías de destinatarios a quienes se comunicaron o comunicarán los datos o las transferencias de datos personales a un tercer país.

Hacker

Riesgos y seguridad

No es posible asegurar el derecho fundamental a la protección de datos si no se es capaz de garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.

En este sentido, es imperativo estudiar el nivel de peligrosidad que hay entorno al tratamiento y almacenamiento que haces de la información que manejas.

Ninguna empresa está a salvo de sufrir un incidente. Si eso ocurriera, el RGPD introduce la obligación de notificar a la autoridad competente, en este caso la AEPD, si se detecta una brecha de seguridad que afecte a datos personales. En determinados casos también hay que avisar a las personas cuyos datos personales se hayan visto afectados por la violación.

Aquí lo importante es tener establecidos de manera clara los mecanismos y procedimiento de notificación de quiebras de seguridad.

Delegado de protección de datos

No es una figura obligatoria en todas las empresas, pero puede ser conveniente asumirla de manera voluntaria o en cualquier caso identificar a una persona responsable de coordinar la adaptación para el correcto cumplimiento de las medidas del reglamento.

Derechos de los ciudadanos

Nos referimos al derecho de acceso (para conocer y obtener información sobre sus datos de carácter personal sometidos a tratamiento), de rectificación (el ciudadano puede solicitar la corrección de errores y la modificación de los datos que resulten ser inexactos o incompletos), de cancelación (cualquier persona puede solicitar que se supriman sus datos) y de oposición (puede negarse a que se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo).

Realidad virtual

Además, los datos personales que solicitemos deberán ser adecuados, veraces y no excesivos. Es decir, no hay que solicitar más datos de los necesarios, hay que mantenerlos actualizados y eliminarlos cuando ya no sean necesarios.

Obligado cumplimiento

No es una labor sencilla. Somos conscientes. Pero es imperativa. Es la ley y es de obligado cumplimiento.

Existen infinidad de tipos de empresas y, por ende, miles de maneras de tratar y utilizar los datos de los que se dispone.

Si la peligrosidad de tu empresa en el tratamiento de datos es considerada reducida, la herramienta online FACILITA-RGPD de la Agencia de Protección de Datos te va a ser de gran ayuda. Acaba de ser actualizada y te permite obtener los documentos mínimos indispensables para facilitar el cumplimiento de la normativa.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies

ACEPTAR
Aviso de cookies