Con la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) el pasado 25 de mayo de 2018, las empresas han tenido que implantar una serie de medidas para con la nueva legislación, que establece una serie de requisitos para garantizar la confidencialidad de los datos personales de clientes, proveedores y empleados.
Desde su entrada en vigor, todas las empresas de la Unión Europea deben cumplir con el RGPD. De lo contrario, podrían enfrentarse a sanciones económicas hasta el 4% de la facturación anual o de hasta 20 millones de euros, siendo siempre la sanción la de mayor cuantía.
De modo que si tienes una empresa, ya sabes que debes cumplir con el RGPD, y a continuación te vamos a contar cómo hacerlo para evitar los errores e infracciones más habituales.
Te interesa:
Aprende a aplicar la nueva Ley RGPD en tu web para evitar sanciones millonarias.
Los pasos para cumplir con el RGPD en tu empresa
¿Qué datos puedes tratar?
Con la llegada del nuevo RGPD, únicamente podrás tratar aquellos datos personales que sean totalmente necesarios para el desarrollo de tu actividad. Esto significa que si por ejemplo tienes una tienda online de zapatos, no podrás solicitar a tus clientes datos relacionados con su estado de salud.
A partir de ahora el tratamiento de datos únicamente es posible si se dispone de una base legal adecuada, y existe una justificación para su tratamiento.
Necesitas el consentimiento
Antes del RGPD, podías tratar todos aquellos datos proporcionados por un cliente. Esto ahora ha cambiado, y para tratar los datos de clientes necesitas su consentimiento expreso, el cual debe expresarse de una manera clara y concisa por parte del cliente.
Asimismo, deberás especificar la distinta finalidad de cada uno de los datos, necesitando el consentimiento expreso para cada una de ellas.
Y en cuanto a verificar el consentimiento, podrás seguir utilizando las clásicas casillas, pero no las casillas premarcadas, que han dejado de ser una opción válida para cumplir con el RGPD.
Estás obligado a informar
Antes de solicitar datos confidenciales a tus clientes estás obligado a ofrecerles la siguiente información:
- Información de contacto de la persona responsable del tratamiento de datos.
- Si se dispone de Delegado de Protección de Datos, sus datos identificativos.
- La razón por la que se solicitan dichos datos y su finalidad.
- Las personas que van a poder acceder a esos datos.
- Si van a ser transferidos a otros países.
- El plazo de conservación de los datos.
- Los derechos que le corresponden.
- Si facilitar los datos es obligatorio y, en ese caso, las consecuencias de no hacerlo.
Esta información debe estar incluida en el documento de consentimiento de los clientes, así como en cualquier email enviado o factura emitida. La debes facilitar por escrito y de manera clara, evitando cualquier tipo de confusión por parte del cliente.
Te interesa:
Delegado de Protección de Datos
Con el nuevo RGPD ha aparecido la figura del Delegado de Protección de Datos (DPO), cuya presencia es obligatoria para determinadas empresas.
El DPO es una persona que se encargará de supervisar que se cumpla la normativa de protección de datos, a la vez de asesorar a las empresas en cualquier aspecto relacionado. Asimismo, actuará como intermediario en caso de una inspección de la Agencia Española de Protección de Datos (AEPD).
Registro de actividades
Todas las actividades que realices deberán estar registradas en un documento, escrito o electrónico, en el que tendrá que aparecer la siguiente información:
- Tipo de datos que recoges.
- Finalidad del tratamiento de los datos.
- Lugar de almacenamiento de los datos.
- Si se cederán los datos o serán transferidos a países extranjeros.
- Medios de tratamiento de los datos.
Es importante mantener este registro de actividades constantemente actualizado, para así tenerlo al día en caso de que te lo solicite la AEPD.
Notificar las brechas de seguridad
Para cumplir con el RGPD y dependiendo del nivel de la brecha de seguridad que se haya producido, deberás notificar dicha brecha en tu empresa tanto a las personas afectadas, como a la AEPD. En el caso de las más graves, el plazo para hacerlo es de un máximo de 72 horas desde que se produjera la brecha.
Asimismo, para evitar una sanción, debes demostrar a la AEPD que has tomado todas las medidas necesarias para cumplir la ley:
- Los datos almacenados en papel deben estar guardados en archivadores bajo llave.
- Los datos almacenados en soportes informáticos deben estar protegidos con contraseñas y antivirus.
Además, tendrás que realizar un análisis de riesgos, prestando atención a cualquier riesgo que pudiera existir sobre los datos que manejas, para evitar que ocurran.
¿Cómo cumplir con el RGPD en tu web?
Si ofreces servicios o vendes productos a través de una página web, deberá contar con los documentos exigidos por la Ley de Protección de Datos y la LSSI:
- Aviso legal: aquí se deberá identificar al propietario de la web, incluyendo el nombre completo, CIF o NIF, dirección y correo electrónico.
- Política de privacidad: debe informarse del tratamiento de los datos, explicando dónde se van a utilizar, de la necesidad de contar con el consentimiento de los usuarios, si se cederán a terceros, etc.
- Política de cookies: deberás informar de las cookies utilizadas en la página web, de su finalidad y de la duración.
Conclusión
Todas estas medidas deberás aplicarlas en tu empresa para cumplir con el RGPD, y garantizar la confidencialidad de todos los datos que manejes de clientes, proveedores o empleados. De lo contrario, y como hemos comentado, las sanciones económicas podrían ser de cuantías muy elevadas.
