Es importante analizar internamente tu empresa y revisar si se ha adaptado correctamente al nuevo RGPD. Te damos algunos consejos útiles para que puedas realizar un test.
Desde el pasado mes de mayo de 2018, las empresas deben cumplir el Reglamento General de Protección de Datos (RGPD).La nueva legislación actualiza la Directiva de Protección de Datos de 1995, introducida en un momento en el que la era digital estaba muy poco regulada. En su sitio web, la Comisión Europea declara que una nueva ley única sobre protección de datos reemplaza «el actual mosaico inconsistente de leyes nacionales». El objetivo de este nuevo reglamento es incorporar pautas más estrictas sobre protección de datos, así como que las personas tengan más control sobre sus datos personales.
Todos estos cambios han supuesto gran revolución y revuelo entre las empresas, de hecho, muchos son los que nos han consultado acerca de esta nueva situación. Te recomendamos leer las preguntas más frecuentes.
Cambios significativos en el nuevo RGPD
El objetivo del RGPD es proteger a todos los ciudadanos de la UE de la privacidad y las infracciones de datos dentro de un mundo cada vez más basado en la navegación por internet, las conexiones online y los datos. La situación actual es muy diferente a aquella que teníamos en el momento en que se estableció la directiva de 1995. Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la directiva anterior, se han propuesto muchos cambios a las políticas regulatorias; los puntos clave del GDPR, así como la información sobre los impactos que tendrá en los negocios los detallamos a continuación:
1. Mayor alcance territorial: dentro de la UE.
Seguramente el mayor cambio en la nueva regulación sobre la privacidad de los datos sea aquel que se deriva de la jurisdicción ampliada del RGPD, ya que se aplica a todas las empresas que procesan datos personales de personas que residen en la Unión, independientemente de la ubicación de la empresa.
2. Aplicabilidad extraterritorial: para aquellos que realizan operaciones comerciales en el espacio común europeo.
La extraterritorialiedad es una de las nuevas características que contribuirá significativamente al aumento del nivel de protección de los datos personales. Supone que esta nueva norma afecte también a entidades fuera de la UE. Es decir aquellas que tengan actividades relacionadas con ofrecer bienes o servicios a ciudadanos de la UE. Además, están sometidas al control de todo comportamiento que tiene lugar dentro de la UE.
Además, las empresas ajenas a la UE, que no están establecidas dentro de la Unión, y que procesan los datos de ciudadanos de la UE, deberán nombrar un representante en la UE. Dicho representante debe tener su ubicación dentro de un estado miembro en el cual se localicen los interesados.
3. Sanciones: hay que tener mucho cuidado con las multas que estipula el nuevo RGPD
En virtud de lo dispuesto en la nueva regulación, a las organizaciones que infrinjan el RGPD, se les puede multar con hasta el 4% de la facturación global anual o a 20 millones de euros. En este sentido, se aplicará lo que suponga una sanción mayor y mayor coste para la compañía. Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, fallos en cumplir los principios de tratamiento de datos legales de acuerdo a lo establecido en el RGPD, fallos en cumplir las disposiciones relacionadas con la transferencia de datos personales fuera de la UE y fallos en el cumplimiento de los derechos de los interesados
También existen las sanciones de menor coste, que pueden ser de hasta 10 millones de euros o, si se trata de una empresa, de un 2% del volumen de negocio del año anterior en el caso del incumplimiento de las medidas de control. Algunos ejemplos para estas sanciones son: fallos en designar a un representante (donde el ente se encuentra fuera de la UE), fallos en obtener consentimiento al procesar datos de niños, fallos en establecer cláusulas adecuadas para la protección de datos en los contratos con los encargados, fallos en designar un delegado de protección de datos y fallos en mantener registros escritos.
4. Consentimiento específico.
Para el uso de datos de carácter personal, las empresas necesitarán tener la autorización del usuario, y no vale solamente con hacer simple click en una página web o enlace. Debe ser un consentimiento expreso y verificable. Por esta razón, tras la vigencia de la nueva norma, la autorización debe ser fácil de entender y con acceso rápido, usando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como darlo.
En el caso de los menores, el nuevo Reglamento General de Protección de Datos de la UE establece que la edad mínima para dar su consentimiento en el uso de sus datos es de 16 años. Ahora bien, esto puede variar en función de cada estado miembro y en el caso español, la edad está fijada en los 14 años.
5. Avisos de privacidad.
El nuevo reglamento obliga a que las corporaciones hagan una revisión de las políticas de privacidad que venían usando hasta mayo de 2018 y, además, tendrán que explicar al usuario la base legal para el tratamiento de los datos, los períodos de retención de los mismos y hacerles conocedores de que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos.
6. La responsabilidad activa de las compañías, según los dispuesto en el nuevo RGPD.
Uno de los elementos importantes sobre los que se sustenta este nuevo reglamento está relacionado con la obligación de prevención que corresponde por principio a todas las empresas que tratan datos. En este sentido, las organizaciones tienen la obligación de llevar a cabo todas las medidas para asegurar que se cumple con los principios, garantías y derechos establecidos en el Reglamento.
Consejos para analizar su tu empresa cumple con el nuevo RGPD
Con la norma actual, de protección de datos, han aparecido conceptos y herramientas tan nuevos como los del deber de informar de manera clara y concisa, facilitar la portabilidad de los datos a otro responsable o empresa asignado sin trabas, el derecho al olvido, en el que se debe borrar toda la información del usuario o la privacidad por diseño, que exige la inclusión de la protección de datos desde el inicio del diseño de los sistemas, en lugar de una adición. En este sentido, ¿has sabido incorporar en tu empresa todos los datos que se marcan desde Europa? Te ofrecemos algunos consejos para analizar si tu empresa cumple con el nuevo RGPD:
1. ¿Has realizado una evaluación de impacto?
Tras la entrada en vigor de la nueva normativa, todas las empresas deben realizar un análisis de riesgos de la web de la compañía, por lo que es necesario que se desarrollen y establezcan las medidas necesarias para este cumplimiento. en particular, si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
2. ¿Estás llevando a cabo un registro de actividades?
Es importante realizar un regitro de actividades del tratamiento de los datos donde se tengan en cuenta conceptos tales como la finalidad y la base jurídica en la que se sustenta el tratamiento de los datos.
3. ¿Tienes establecidos unos procedimientos de notificación?
Es necesario establecer mecanismos para comunicar cualquier incidencia o quiebra de seguridad. El plazo máximo de comunicación a la Agencia Española de Protección de Datos es de 72h.
4. ¿Los formularios han sido adaptados?
Si la web de la compañía hace uso de formularios en sus pedidos, es conveniente que estos se adapten a lo dispuesto según el derecho a la información y a los datos que debe conocer el usuario para, asi, conseguir su consentimiento expreso.
5. ¿Cumples los requisitos imprescindibles?
Se deben tener programas informáticos y la tecnología necesaria para la correcta gestión y desarrollo de los datos que la empresa consigue con los formularios y la información que el usuario nos va facilitando. Además, hay que formar a los empleados con la llegada y adaptación de la nueva norma y se les deben dar a conocer las características y las responsabilidades que tienen y deben cumplir. Los encargados deben, también, ofrecer garantías y adaptación de los contratos.
6. ¿Ha revisado el contenido de la empresa, legal y uso de datos?
Es necesaria la revisión de todos los textos donde se detalla la información en relación con los responsables del tratamiento de los datos, asi como el tiempo de permanencia de dato en los ficheros, el acceso al contenido y quién lo supervisa y las medidas de seguridad que se llevan a cabo para no hacer un uso inapropiado de la información personal de cada cliente o usuario. Como ya hemos indicado anteriormente, se debe cambiar la forma en que se redactan los contenidos dado que se obliga, expresamente, a que la información sea clara, inteligible y al alcance de todos.
Si, tras estas recomendaciones, vemos que nuestra empresa está algo perdida en cuanto a la aplicación del nuevo reglamento, es importante mantener la calma y ver la opción de consultar a un profesional. No obstante, lo más importante es empezar a adaptarse a los nuevos cambios, aunque sea lentamente. Nunca debemos esperar a que aparezcan los reguladores y los encargados de controlar el cumplimiento y empiecen a vislumbrarse las primeras sanciones. Si la tarea parece abrumadora, hay que ir poco a poco, progresando y demostrando a los consumidores que se están tomando medidas. Además, si todo se incluye en los planes de la empresa, en caso de tener que someterse a una auditoria o a mecanismos de control, es útil para demostrar evidencias de la acción. Es importante, siempre, poder demostrar que las cosas se están haciendo bien y conforme a lo establecido por Europa.