¿Está tu negocio preparado para cumplir con el nuevo Reglamento General de Protección de Datos ?
A partir del próximo 25 de mayo de 2018 será de obligado cumplimiento el nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD). Con este nuevo reglamento, se quiere ofrecer a los ciudadanos de la Unión Europea más seguridad y un mejor control sobre las condiciones de sus datos personales, así como garantizarles el uso seguro y protegido de los mismos.
Al mismo tiempo, supone menos posibilidades de información para las empresas y organizaciones que recopilan y utilizan datos con fines comerciales.
El RGPD en aplicable para todo tipo de empresas, tanto si tus clientes son consumidores como si se trata de otras empresas. Por ello es importante que tu empresa haya establecido directrices, políticas y procesos claros para el manejo de datos.
¿Qué novedades del RGPD debes tener en cuenta?
Cambios relativos al consentimiento de los interesados para el tratamiento de sus datos personales
El RGPD establece que el consentimiento debe ser explícito, inequívoco y verificable, y no tácito como hasta ahora, de la información que se obtenga de sus clientes (por ejemplo, marcando una casilla que no puede estar marcada por defecto).
Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
Nuevos derechos para los interesados
Además de los derechos de Acceso, Rectificación, Cancelación y Oposición vigentes hasta ahora, los ciudadanos tienen nuevos derechos:
– Derecho a ser informado
– Derecho de limitación del tratamiento
– Derecho al olvido
– Derecho al traspaso de datos
Se amplía el ámbito de aplicación
El RGPD será de obligado cumplimiento para todas las empresas de la UE que traten datos de ciudadanos europeos y se aplicará también a aquellas empresas establecidas fuera de la Unión Europea que traten datos de ciudadanos europeos en relación con una oferta de productos o servicios ofrecidos a los mismos, o con el análisis de sus comportamientos dentro de la UE.
Obligatoriedad de facilitar información
Las empresas deberán informar a los interesados específicamente acerca de las características de la transmisión de datos fuera del territorio de la UE, el periodo de conservación de los datos, facilitar los datos de contacto del Delegado de Protección de Datos e informar sobre la base legal del tratamiento y sobre el derecho que asiste a los interesados para dirigir sus reclamaciones a las autoridades de protección de datos si consideran que sus datos se están tratando de forma desproporcionada.
Obligación de notificar las brechas de seguridad
Las empresas están obligadas a informara la AEPD, en un plazo máximo de 72 horas, cuando hayan sufrido unabrecha en la protección de datos a las autoridades de control y, dependiendo de la gravedad, a los afectados. Aunque es un asunto necesario hoy en día, el reglamento establece la necesidad de dejar plasmada una estrategia en materia de seguridad.
Aumento de las sanciones
Una de las principales recomendaciones es la de llevar a cabo una auditoría interna de riesgos de seguridad de la información ya que el nuevo RGPD aplica un régimen sancionador mucho más estricto.
El importe de las sanciones podrá llegar a los 20 millones de euros o el 4% de la facturación total del ejercicio financiero anterior, aplicándose siempre la de mayor importe.
¿Por dónde empezar para cumplir con el RGPD?
- Asegúrate de desarrollar e implementar medidas de seguridad en toda tu infraestructura para estar cubierto frente a la violación de la seguridad de los datos.
Asimismo, asegúrate de comprobar tus proveedores, ya que la externalización de servicios no te exime de responsabilidad. - Debes identificar exactamente dónde se encuentran todos los datos personales, quién tiene acceso a ellos y si existe algún riesgo de uso indebido o acceso no autorizado.
- No almacenes información innecesaria y elimina los datos que no se utilizan.
- Adapta tus canales de recopilación de datos al RGPD.
Cuando el RGPD entre en vigor, todos los individuos deberán dar su consentimiento de forma activa tanto para la recopilación como para el tratamiento de sus datos. - Establece procedimientos para la recopilación y uso de datos personales adaptados al RGPD para cada una de estas situaciones:¿Cómo podrán los individuos dar su consentimiento legalmente?
¿Cuál será el procedimiento si una persona quiere que sus datos sean eliminados?
¿Cómo asegurar que esto se lleve a cabo en todas las plataformas y que los datos son eliminados de forma permanente?
¿Cómo va a manejar situaciones en las que una persona desea que sus datos sean transferidos?
¿Cómo va a confirmar que la persona que solicita la cesión de sus datos es la persona que se supone que es?
¿Cuál es el plan de comunicación en caso de una violación de datos?
El RGPD recoge la obligación, para determinadas empresas, de contar con un Delegado de Protección de Datos. Las empresas que no requieran un DPD pueden valorar contar con esta figura, que tendrá como funciones la gestión y el control de la protección de datos dentro de la empresa, así como actuar como punto de contacto entre esta y la AEPD.
La recomendación es nombrar a un responsable interno y contratar un servicio externo de resolución de consultas especializadas y para disponer de un servicio de seguimiento jurídico.
Si necesitas obtener asesoramiento o ayuda en el cumplimiento del nuevo RGPD, puedes contactar con Quartup. Contamos con un equipo de profesionales especializados en protección de datos y en seguridad informática, que te ayudarán en la implantación del RGPD.
