El siguiente artículo tiene la finalidad de ponerte al día en todo lo que compete a tu empresa en relación al nuevo Reglamento de Protección de Datos General, que entrará en vigor el próximo 25 de mayo y para el que deben estar listas todas las empresas europeas.
Antes de solicitar los datos de tus clientes a través de la página web de tu empresa, habrá que estar preparado para poder hacerlo… Sí, sabemos que ya cumplías la Ley Orgánica de Protección de Datos (LOPD), pero la nueva medida europea estará por delante en el nivel jerárquico.
Nos referimos al Reglamento de Protección de Datos General (GDPR, por sus siglas en inglés), que aunque fue aprobado en abril de 2016, entrará en vigor el próximo 25 de mayo. Se trata de una norma que afectará a todas las compañías que operen dentro de Europa y transfieran datos fuera de la Unión Europea.
Nuevos requisitos
Este nuevo marco legal tiene el objetivo de proteger la privacidad de los ciudadanos y, para ello, recoge condiciones adicionales a los principios vigentes desde el año 1995:
-
Consentimiento: los usuarios tendrán que expresar su libre consentimiento a la hora de facilitar sus datos a tu empresa.
-
Derecho al olvido: esta medida recoge que, con el paso del tiempo, los datos obsoletos de los clientes se borren.
-
Derecho a la portabilidad: una vez que entre en vigor la normativa, los usuarios podrán solicitar una copia de sus datos personales guardados por las empresas.
-
Accesibilidad: el GDPR impide, en la mayoría de los casos, cobrar al usuario por el acceso a sus datos.
-
Datos restringidos: no será posible solicitar más datos de los estrictamente necesarios.
-
Evaluación del impacto de la Protección de Datos (EIPD): se encargará de controlar el impacto que pueden tener las distintas iniciativas en la privacidad de los usuarios.
-
Delegados de Protección de Datos (DPO): todas las empresas a las que les afecte la GDPR tendrán que contar con esta figura para que supervisen el cumplimiento.
-
Revisión de políticas internas: para garantizar el cumplimiento requerido por el reglamento, estos delegados revisarán las Declaraciones de Privacidad, los Avisos de Privacidad y el resto de políticas internas, si las hubiera.
-
Autoridades de control por cada país miembro: este organismo se formará en cada uno de los territorios para supervisar la regulación de los datos personales.
-
Responsabilidad proactiva: los encargados del tratamiento de datos tendrán que demostrar el cumplimiento del reglamento a la autoridad de supervisión local que corresponda y, en caso contrario, notificarlos dentro de las 72 horas desde su conocimiento.
Pasos para cumplir el nuevo reglamento
Mayo está a la vuelta de la esquina y, en este contexto, te preguntarás qué es lo que tiene que hacer una empresa para adaptarse a las disposiciones de la GDPR. A continuación, te ofrecemos las claves para que no se te escape nada:
-
Entender el marco legal: es necesario entender tanto el marco regulatorio como los requisitos técnicos a cumplir. Por este motivo, si no te queda del todo claro siempre puedes contratar los servicios de un técnico de protección de datos que te ayude con la adaptación.
-
Hacer un inventario de datos: la idea es clasificar todos los tipos de datos que maneja la compañía para determinar las obligaciones a cumplir en cada caso.
-
Redactar de nuevo las cláusulas de consentimiento a partir del paso anterior.
-
Revisar los contratos: en el caso de que haya una fuga de información proveniente de una subcontrata la responsabilidad será de tu empresa, por lo que también conviene revisar los contratos que tengas con los prestadores de servicios si quieres evitar sorpresas.
-
Realizar una auditoría: de esta forma se podrán analizar los riesgos, determinar las mejoras tecnológicas y los cambios que requerirán los procesos.
-
Contratar un DPO: en el caso de que la empresa cuente con más de 250 trabajadores será obligatorio contar con esta figura, quien deberá tratar los temas relacionados con las cuestiones jurídicas y de ciberseguridad.
-
Revisar resultados y repetir el proceso: una vez que se haya conseguido adaptar el negocio habría que establecer las próximas prioridades y volver a realizar el mismo procedimiento.
Consecuencias del incumplimiento
Otra de las medidas reforzadas tiene que ver con el incumplimiento de las reglas, de manera que tendrás que cumplir sus cláusulas a rajatabla… si no las multas podrían llegar a alcanzar cantidades de hasta 20 millones de euros.
Concretamente, estas sanciones se dividirán en dos categorías:
-
Menos graves: las infracciones consideradas como tal corresponderán a 10 millones de euros o 2% del volumen de negocio total anual del ejercicio financiero anterior.
-
Muy graves: en este caso la cuantía puede ascender, como hemos dicho anteriormente, hasta los 20 millones de euros o 4% del volumen de negocio total anual del ejercicio financiero anterior.
Como ves, adaptar tu negocio al nuevo reglamento se hace indispensable y todavía estás a tiempo de auditar tu empresa. No obstante, si aún tienes dudas al respecto te ofrecemos información extra en nuestra Guía sobre los cambios en el GDPR 2018, ¿a qué esperas para descargártela?