El RGPD ya está aquí. Adapta tu empresa

Pues sí. Después de oír y recibir multitud de correos acerca de este nuevo reglamento que afecta a todas las empresas de la Unión Europea, el día ya está aquí y tu empresa, sea del tamaño que sea, debería estar adaptada a todo lo que exige en referencia a la protección de datos.

En el post de hoy, trataremos de exponer brevemente, y de una manera sencilla, las necesidades y exigencias más inmediatas e importantes que las empresas comunes deben adquirir.

No serán desde luego todas las medidas que probablemente tu empresa deberá adecuar, ya que dependiendo de cómo trate los datos tu negocio, necesitarás implementar las medidas de una manera o de otra. Pero estas claves que os daremos hoy, serán necesarias con casi toda seguridad, para cualquier tipo de empresa.

Antes de comenzar a apuntar esta guía, queremos explicar qué es a grandes rasgos este Reglamento General de Protección de Datos que entra en vigencia el 25 de mayo de 2018.

El RGPD es la norma que afecta a grandes corporaciones y a las pymes. El nuevo reglamento general de protección de datos entró en vigor en mayo de 2016, pero es de aplicación obligatoria para todas las empresas de la Unión Europea a partir del 25 de mayo de 2018. Su función será otorgar mayor control y seguridad a los ciudadanos sobre su información personal. El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y a cómo quieren recibir información de las empresas.

QUÉ CAMBIOS CONLLEVA

Derecho al olvido –> Es una manifestación de los derechos de cancelación u oposición en el entorno online.

No al consentimiento tácito –> Los usuarios, pueden ejercer el derecho de retirar su consentimiento y eliminar la información de los servidores de la empresa. Lo que se desea conseguir es que, las personas que ceden sus datos, lo hagan con pleno conocimiento.

Limitación de tratamiento –> La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían.

Tomar medidas de seguridad con los datos –> Los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados .

Derecho de acceso –> Se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento.

Consentimiento de menores –> El RGPD prevé que en ese entorno, el consentimiento solo será válido a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad.

Proactividad en la comunicación de brechas de seguridad –> El responsable de tratamiento de los datos deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos, en un plazo de 72 horas así como a los afectados, en caso de existir algún riesgo para sus derechos.

MEDIDAS INDISPENSABLES

Revisar tu política de privacidad –> Lo que se pide en este caso, es ser transparente y redactar de manera clara y sencilla, entendible para todos, cuál es el uso y tratamiento que harás de los datos aportados por el usuario.

Deberá aparecer también los datos de tu negocio, los datos que se recogen y para qué, durante cuánto tiempo serán almacenados, servicios a terceros que utilizarán esos datos, la posibilidad de solicitar el acceso, rectificación o denegación de esos datos.

Pedir consentimiento expreso a tu base de datos para seguir recibiendo notificaciones –> Si tienes una base de datos en tu plataforma de email marketing, donde sueles enviar comunicaciones, deberás enviar un email a toda tu base de datos, contando las novedades de tu política de privacidad, y pidiendo un consentimiento expreso de nuevo para que les sigas incluyendo en tu base de datos. Si no lo conceden, estarás obligado a eliminarlos.

Pedir consentimiento expreso en los formularios de contacto –> Si cuentas con formularios de contacto en tu web, será imprescindible que añades una casilla de check box, que tengan que aceptar expresamente los usuarios, aceptando tu política de privacidad, resumiendo para qué usarás sus datos, y enlazando a dicha página de política de privacidad de tu página.

Esta página deberá estar visible y accesible en alguna zona de tu web (footer).

Establecer controles de seguridad en web y datos –> Cifrado de datos, prevención de fuga de la información, prevención de ataques externos, comunicaciones seguras con protocolos de seguridad, implementar sistemas de recuperación de datos.

Doble opt in –> Verifica en dos pasos la recogida de emails y datos de tus usuarios. Esto se consigue con el doble opt-in de las plataformas de email marketing con el siguiente proceso:

El usuario pulsa en el botón del formulario
El usuario recibirá un mail que incluye un enlace en el que debe clicar para confirmar su suscripción.

Contar con un delegado de protección de datos en su caso –> Esta figura, conocida popularmente como DPO (en inglés, Data Protection Officer), constituye uno de los elementos claves del RGPD, y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Es decir, al Delegado de Protección de Datos, que deberá contar con conocimientos especializados del Derecho, y obviamente en protección de datos, que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.