Guía para las empresas que dudan en la aplicación del RGPD.
Los datos se han convertido en un gran activo para los negocios. Tanto es así que llegó un momento en que era tal el número de compañías que disponían de nuestro teléfono, nombre, dirección o conocían nuestros gustos, preferencias o nivel adquisitivo que la UE decidió tomar cartas en el asunto. En los últimos años se han puesto en marcha diversas normativas para limitar el uso de nuestros datos y hacer que podamos saber en todo momento quién tiene acceso a ellos, para qué puede usarlos y cómo los ha conseguido.
La medida más importante fue el Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2016 y que desde el 25 de mayo del año pasado es de obligado cumplimiento en España. Su incumplimiento puede conllevar multas y sanciones que alcanzan los 20 millones de euros, en el peor de los casos.
La cuestión es importante y preocupa a los empresarios. "Las recientes multas impuestas y el daño continuo a la reputación como resultado del incumplimiento regulatorio respaldan la seriedad con la que se afrontan estos riesgos", indican los responsables de la consultora multinacional Willis Towers Watson en su 6ª Encuesta de Responsabilidad de Directores.
Dos años de margen tuvieron entidades públicas, organizaciones y empresas para adaptarse a la nueva forma de gestión de la información, sin embargo aún hay rezagados que siguen sin aplicar las nuevas normas o no lo hacen correctamente. Resumamos lo que tiene que hacer y cómo hacerlo.
1. Cumplir con el deber de información
Debe informarse a los titulares de los datos de quién es el responsable del tratamiento, las finalidades que se persiguen, si existen cesiones a terceros y la dirección postal o electrónica donde el titular pueda solicitar sus derechos de acceso, rectificación, cancelación y oposición. Todas las empresas están obligadas a informar por cualquier canal a sus clientes de estos cambios.
2. Lograr el consentimiento explícito
El consentimiento para el tratamiento de datos deja de ser tácito. Ya no vale que se dé por hecho, debe de haber una clara acción afirmativa. De hecho, el responsable de los datos debe tener pruebas de ese consentimiento.
Si tienes dudas, consulta esta guía de la Agencia Española de Protección de Datos (AEPD).
UN CASO HABITUAL
¿Qué ocurre si tienes un pequeño negocio y quieres de forma esporádica contactar con sus clientes? Supongamos, por ejemplo, el caso de un pequeño local, podría ser una tienda de muebles o un restaurante, que desea mantener un contacto con sus clientes, para informarles de sus novedades mediante una newsletter mensual. Hacen acopio de sus direcciones de correo, sus nombres, y sus teléfonos en un listado. Mar López Almagro, Socia de LOPD Preconlab, consultora de protección de datos, explica que este negocio “debería adaptar sus procesos de recogida de datos mediante un consentimiento expreso y para la finalidad de enviar comunicaciones comerciales”. Sí, tendría que haber constancia de ese consentimiento. Ya no vale con el hecho de que hayan sido los clientes en la tienda los que hayan aportado esa información. Tienen que rellenar y firmar un formulario.
“En todos los formularios de la empresa donde se recogen datos hay que mencionar que los clientes permiten expresamente enviarles publicidad”. De hecho, algo tan sencillo como compartir una tarjeta de visita o un número de teléfono “podría transformarse en un problema legal si se hace de forma masiva y se considera que se está cediendo una base de datos a un tercero”, advierte Mar López Almagro.
3. Registro de actividades de tratamiento
El RGDP obliga a informar, tanto a los propios usuarios como a la AEPD, sobre la recopilación de los datos y el objetivo de la misma. La antigua inscripción de ficheros (vigente con la anterior LOPD 15/1999) es ahora sustituida por el registro de actividades de tratamiento efectuadas por cada responsable y, en su caso, encargado del tratamiento de datos. Ese registro incluye, entre otra información, los fines, las categorías de destinatarios a quienes se comunicaron o comunicarán los datos, las transferencias de datos personales a un tercer país, etc.
4. Realizar un análisis de riesgos y adoptar medidas de seguridad
No es posible asegurar el derecho fundamental a la protección de datos si no se es capaz de garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales, así que lo primero es estudiar el nivel de peligrosidad que hay entorno al tratamiento y almacenamiento que haces de la información que manejas. Puedes hacerlo mediante la herramienta FACILITA-RGPD. En los primeros pasos de este procedimiento vía web encontrarás unas preguntas que te ayudarán a determinar el grado de riesgo.
5. Comunicar incidentes de seguridad
Con los ciberataques a la orden del día y las herramientas informáticas en constante evolución, ninguna empresa está a salvo de sufrir un incidente. Si eso ocurriera, el RGPD introduce la obligación de notificar a la autoridad competente, en este caso la AEPD, si se detecta una brecha de seguridad que afecte a datos personales. En determinados casos también hay que avisar a las personas cuyos datos personales se hayan visto afectados por la violación.
Aquí lo importante es tener establecidos de manera clara los mecanismos y procedimiento de notificación de quiebras de seguridad. El pasado mes de marzo hubo 113 notificaciones, tres de ellas se están investigando por si supusiera la existencia de riesgo alto para los derechos y libertades de los ciudadanos.
6. Valorar si los encargados de los datos ofrecen garantías
El RGPD define el tipo de contrato que debe vincular al responsable de los datos con el encargado de los mismos. En él se deben especificar la relación y las obligaciones de ambas partes ante la prestación del servicio acordado. Si existiera un contrato vigente previo a mayo de 2018, cuando entró en vigor el reglamento, es imprescindible incluir una cláusula al respecto que sea firmada por las partes.
Quizás sea este el momento de valorar si el organismo o empresa encargada del tratamiento de los datos de mi compañía es el más adecuado y aclarar situaciones en las que puede ser difícil distinguir cuándo estamos frente a un encargado o a un responsable del tratamiento. La AEPD elaboró este documento que responde a muchas preguntas que te pueden surgir.
7. Designar un delegado de protección de datos
No es una figura obligatoria en todas las empresas (consulta tu caso aquí), pero puede ser conveniente asumirla de manera voluntaria o en cualquier caso identificar a una persona responsable de coordinar la adaptación para el correcto cumplimiento de las medidas del reglamento.
8. Atender correctamente los derechos de los ciudadanos
Nos referimos al derecho de acceso (para conocer y obtener información sobre sus datos de carácter personal sometidos a tratamiento), de rectificación (el ciudadano puede solicitar la corrección de errores y la modificación de los datos que resulten ser inexactos o incompletos), de cancelación (cualquier persona puede solicitar que se supriman sus datos) y de oposición (puede negarse a que se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo).
Además, los datos personales que solicitemos deberán ser adecuados, veraces y no excesivos. Es decir, no hay que solicitar más datos de los necesarios, hay que mantenerlos actualizados y eliminarlos cuando ya no sean necesarios.
Y para finalizar una muy buena noticia, si la peligrosidad de tu empresa en el tratamiento de datos es considerada reducida, la herramienta online FACILITA-RGPD de la Agencia de Protección de Datos antes mencionada te va a ser de gran ayuda, ya que acaba de ser actualizada y te permite obtener los documentos mínimos indispensables para facilitar el cumplimiento de la normativa.
