10 situaciones diarias en tu empresa que no puedes pasar por alto con el RGPD

Publicado · 5 minutos de lectura

Analizamos 10 casos prácticos en los que cambiar la forma de actuar en cualquier empresa tras la entrada en vigor del RGPD el pasado 25 de mayo

  • Desde compartir una fecha de nacimiento de un compañero o enviar felicitaciones de Navidad, son acciones que se pueden ver afectadas por la nueva normativa
  • Si todavía tienes dudas sobre el RGPD, puedes registrarte en alguno de los cursos y formación online impartidos por expertos de Sage en la materia

Con el nuevo Reglamento General de Protección de Datos (RGPD) ya en vigor en toda la Unión Europea (UE) (desde 2016 y de aplicación desde el 25 de mayo de 2018), la forma en la que las empresas gestionan los datos personales de sus clientes ya no será igual.

No obstante, según datos de un estudio realizado en marzo por IDC, solamente la mitad de las pequeñas y medianas empresas europeas habían tomado medidas para adaptarse a la nueva normativa. En España, las cifras no son muy distintas: según una encuesta realizada por Sage, un 51% de los empresarios españoles no saben en qué consiste el RGPD o no están familiarizados con él.

Por ello, hemos identificado 10 situaciones diarias del entorno empresarial sobre las que se debería prestar especial atención a partir de ahora, con el nuevo Reglamento en vigor.

1. Celebrar el cumpleaños de un compañero de trabajo

Una fecha de nacimiento de un individuo es un dato personal. En la normativa de protección de datos, a menos que se comparta esa información en una actividad puramente personal o familiar, no se debe hacer sin el consentimiento expreso del individuo. Por lo tanto, vale la pena verificar que se tiene permiso de todos los empleados para hacer público en la oficina un calendario de cumpleaños.

2. Enviar felicitaciones navideñas

Si estás pensando enviar la típica felicitación de Navidad a tus clientes, primero párate a pensarlo. Si en ella se incluye la dirección de la casa de alguien, entonces será un dato personal. Si quieres usarlo, también necesitarás tener el consentimiento por adelantado.

Por eso, si no tienes el consentimiento expreso para contactar con cada cliente, deberás establecer una base de datos legítima diferente para cada comunicación comercial que realices.

3. Compartir las fotos del hijo de un compañero

Piénsatelo dos veces antes de compartir fotos de bebés con compañeros, por ejemplo, de otros países. Los datos personales solo pueden transferirse internacionalmente si el país ha sido designado por la UE como proveedor de un nivel adecuado de protección de datos, bien cumpliendo con un mecanismo de certificación aprobado (como el EU-US Privacy Shield), o bien obteniendo el consentimiento del individuo en cuestión.

Por supuesto, si el intercambio de una foto de un niño se considera una actividad puramente personal o doméstica, se puede argumentar que queda fuera del alcance del RGPD.

4. Pedir un catering para personas con alergia en un evento del trabajo

¿Tienes algún compañero con alergia alimenticia? ¿O quizás tiene una dieta especial? Este tipo de datos están clasificados como personales. Por lo tanto, antes de levantar el teléfono para pedir comida en un servicio de catering asegúrate de contar con el permiso de tus colegas para compartir esa información con los demás.

5. Reenviar un CV para consultar una segunda opinión sobre un candidato

¿No estás seguro acerca de un candidato potencial para un puesto de tu empresa? Mala suerte: una vez más serán datos personales y no se podrán compartir con otro colega a menos que el intercambio de su CV sea con alguien relevante para ese rol.

Sin embargo, una manera fácil de obtener una segunda opinión de un currículum es anonimizarlo, es decir, eliminar el nombre, la dirección, el número de teléfono y cualquier otra información identificable. Esto también se está convirtiendo en una tendencia en crecimiento en las empresas para evitar las diferencias a la hora de contratar por raza o sexo.

6. Marcar la casilla para unirse a una lista de correo

¿Tienes en tu web formularios de registro con una casilla previamente marcada para que los clientes reciban información de marketing de terceros? Desde el 25 de mayo esto ya no es posible.

Con el RGPD, el silencio, las casillas pre-marcadas y la inactividad ya no serán suficientes como consentimiento. También debes revisar tus términos de privacidad online, ya que una solicitud de consentimiento por parte de una empresa para usar información personal debe ser inteligible, y estar escrita en un lenguaje claro y sencillo.

7. Hablar de política en la oficina

Las opiniones políticas son parte de una categoría especial de información personal y las organizaciones no pueden registrar ni procesar datos de este tipo a menos que sea absolutamente necesario, o que hayan obtenido el consentimiento explícito del individuo en cuestión.

Por lo tanto, la típica cadena de correo electrónico sobre las próximas elecciones puede ser algo peligroso, ya que si alguien la reenvía y contiene las opiniones políticas de la gente se pueden sufrir penalizaciones por el RGPD.

8. Llamar a la oficina cuando estás enfermo

La información sobre la salud también forma parte de esa categoría especial de información personal.

Por lo tanto, si tiene que llamar por enfermedad una mañana debido a una afección médica específica, solo tendrás que transmitir que te encuentras mal a las personas que necesiten saber tu paradero, pero no tendrás que especificar la enfermedad que tienes.

9. Realizar una auditoría de datos

Según el RGPD, en una organización,  en algunos casos, es obligatorio contratar a un Delegado de Protección de Datos (DPD) (persona física o jurídica) antes de llevar a cabo cualquier tipo de procesamiento de datos personales a gran escala. En las organizaciones en donde no es obligatoria su contratación es recomendable contar con una figura que se encargue de los asuntos de protección de datos.

La persona designada sería responsable de crear conciencia sobre la implicación de la normativa de protección de datos en la organización, establecer los procedimientos para la atención a derechos, implantar las medidas de seguridad adecuadas al tratamiento, administrar las auditorías de los procesos de datos entre otras tareas.

10. Gestionar una violación de datos

Si su negocio sufre un hackeo de datos, tendrás que informar rápidamente sobre esto. Según el RGPD, si los datos personales se pierden, se destruyen, alteran o dañan de forma accidental o ilegal, se debe notificar a la autoridad de supervisión en un plazo de 72 horas si el incidente implica un riesgo para los afectados.

Y no es solo la autoridad relevante la que necesita ser notificada: todas las personas afectadas deben ser informadas también si existe la probabilidad de un alto riesgo por pérdidas financieras, robo de identidad o fraude.

Estos son solo algunos ejemplos que afectan al día a día de cualquier negocio. Por eso, si todavía no tienes claro si tu empresa está adaptada al nuevo Reglamento General de Protección de Datos, no dudes en hacer un diagnóstico con nuestra herramienta o registrarte en nuestros cursos y formación online.

Ampliamos el Plan de Ayuda RGPD

Hasta el 30 de junio, con 2,5 millones más de euros en fondos para seguir beneficiando a las empresas en su adaptación al nuevo Reglamento con las soluciones Sage RGPD Ready.

Solicita tu plan

Subscríbete a la newsletter de Sage Advice

Recibe nuestros consejos más recientes directamente en la bandeja de entrada de tu correo electrónico.

Dejar una respuesta