El cumplimiento del Reglamento General de Protección de Datos (RGPD) es un proceso complejo pero necesario. A diario, tanto empresas como instituciones trabajan con datos sensibles de clientes y usuarios. En un contexto donde la información es un activo muy valorado, los ciudadanos tienen derecho a que sus datos sean tratados adecuadamente. Por eso, tanto el RGPD ahoracomo la Ley Orgánica de Protección de Datos (LOPD) con anterioridad, buscan velar por la privacidad de los usuarios.
La Agencia Española de Protección de Datos (AEPD) es la entidad responsable de velar por el cumplimiento del RGPD en territorio español. Por ello, ha creado un decálogo con los puntos clave que las empresas deben aplicar para cumplir con el Reglamento Europeo de Protección de Datos. Esto evitará sufrir sanciones drásticas que pueden llegar a los 20 millones de euros o el 4% de la facturación anual del ejercicio anterior.
10 coNDICIONES que tu empresa debe cumplir sobre protección de datos
Tanto el RGPD como la LOPD hacen posible que el usuario tenga el control de sus datos personales. Por eso, toda empresa que trabaje con datos de clientes y usuarios está obligada a contar con el consentimiento expreso y explícito de ellos para poder tratar ese tipo de información. Esto busca evitar prácticas abusivas como la de hacer perfilados con los gustos del usuario para fines comerciales a espaldas del usuario.
A continuación, los 10 puntos con los que debe cumplir toda empresa e institución para adaptarse adecuadamente a la normativa de protección de datos en España y la Unión Europea:
1. Designar un Delegado de Protección de Datos (DPD)
Esa persona será la responsable de velar por el cumplimiento del RGPD. Principalmente, deberá asegurarse de que la empresa cumpla con las obligaciones que estipula la ley. Además, deberá adaptar los procesos y normativas internas para garantizar que los usuarios puedan ejercer sus derechos sobre sus datos personales.
2. Registro de tratamiento de datos
También conocido como el registro de actividades es un documento donde se especifica qué datos recoge la empresa y con qué propósito. Además, en el mismo se estipulan las medidas y protocolo de seguridad que se aplican, el tipo de fichero y si los datos almacenados son o no cedidos fuera del Espacio Económico Europeo (EEE).
3. Análisis de riesgos
La empresa debe contar con un documento que compile el análisis del riesgo y la evaluación del impacto sobre el tratamiento de datos de los usuarios. Esto ayudará a elaborar las medidas de seguridad necesarias para evitar cualquier vulneración de datos.
4. Base jurídica de los tratamientos
Cada empresa e institución deberá adaptar su normativa interna según su línea de acción. No obstante, la ley recoge seis tipos de bases jurídicas que se aplican en Europa: interés vital del individuo, interés público, necesidad contractual, cumplimiento de obligaciones legales, consentimiento inequívoco del individuo e interés legítimo del responsable del tratamiento de datos.
5. Consentimiento explícito
Todo tipo de organización que trabaje con los datos personales de terceros debe contar con el asentimiento expreso y explícito de los usuarios. Esto será tanto si los datos se usan para fines comerciales o para enviar información por email. Por otro lado, esto también incluye contar con el consentimiento de los trabajadores de la empresa sobre el uso de sus datos dentro de la organización.
6. Medidas de seguridad
Luego de hacer el análisis de riesgo, el responsable del tratamiento de datos tiene que ajustar las medidas de seguridad a la realidad de su empresa. De esta manera, se podrá garantizar un buen uso de la información de los usuarios y minimizar los riesgos en caso de un ciberataque.
7. Mecanismos de notificación
Ante cualquier vulneración de seguridad, la empresa debe informar a los usuarios, clientes y empresas subsidiarias afectadas. Para ello, tendrá un plazo máximo de 72 horas. En caso de no realizar el aviso, los afectados estarán en su derecho de denunciar a la empresa de acuerdo al RGPD y se impondrán las sanciones correspondientes.
8. Tratamiento de alto riesgo
Si el tratamiento es de alto riesgo, se debe detallar e implantar el procedimiento a realizar y una evaluación de impacto de la privacidad. En esta caso, de ser necesario, se podrá consultar previamente a la autoridad de control (art. 35 y 36, RGPD).
9. Adaptar formularios
La empresa deberá adecuar los formularios publicados en sus plataformas online y adaptarlos según lo estipulado en el RGPD. El caso más común son los formularios para conseguir leads y consentir el envío de newsletters informativos o transaccionales.
10. Capacitación del personal
Para poder implementar y cumplir con el RGPD y la LOPD es necesario que todo el personal de la empresa esté informado de su importancia. De esta forma, el trabajo corporativo será más eficiente de cara a la protección de datos.
Adaptarse a la RGPD no es sencillo, pero tampoco es imposible. En Clegane te ayudamos a que tu empresa cumpla la normativa vigente. Si necesitas orientación sobre la adaptación de procesos dentro del marco del Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos, contáctanos.
