RGPD: los cambios organizativos que las empresas deben poner en marcha

Nuestros expertos destacan los cambios organizativos que toda empresa debe poner en marcha cuando tratan datos personales de personas físicas en el marco europeo de protección de datos:  

• A pesar de su vigencia desde mayo de 2018, la adaptación al RGPD todavía sigue siendo todo un desafío para muchas empresas.   
• Invertir en tecnologías de protección de datos o formar a los trabajadores en materia de protección de datos son algunas de las medidas que muchas compañías están llevando a cabo para la consecución de este objetivo.  
• En este post, ponemos el acento en los cambios organizativos necesarios para que las empresas cumplan con la normativa de forma integral.  

La adaptación de las empresas al marco legal europeo en el ámbito de protección de datos continúa suponiendo un desafío para muchas empresas. Estas, además de invertir en tecnologías que respalden la normativa o involucrar a los empleados en su cumplimiento, deben realizar cambios organizativos para amoldarse de forma integral al RGPD.  

¿Qué medidas organizativas toman las empresas adaptadas con éxito al RGPD?  

Para una adaptación integral las empresas aplican medidas que afectan a su organización, entre las que se encuentran las siguientes:   

• La formación al personal en materia de protección de datos, realizando charlas periódicas, impartiendo cursos, entre otras. 

• Una política de seguridad interna accesible y efectiva relacionada con la seguridad de la información, que todos los empleados están obligados a cumplir y conocer al inicio de la relación laboral. Incibe ha publicado el documento Protección del Puesto de Trabajo en donde se relacionan medidas organizativas relacionadas con esta política. 

• Periodicidad en la realización de copias de seguridad y su eliminación cuando corresponda. 

• El registro de actividades de tratamiento. 

• Un registro de incidentes de seguridad. 

• Auditorías periódicas para verificar la implementación de medidas adecuadas y su eficacia. 

• Protocolos seguros de destrucción de documentos, discos duros y otros soportes.  

Las empresas que han decido adherirse a códigos de conducta (reglas de cumplimiento para tratamientos de datos que se realizan de forma habitual en un sector) adoptan al menos éstas y las demás que determina el código de conducta.   

Las auditorías periódicas periódicas para verificar la implementación de medidas adecuadas y su eficacia.  

Novedades del RGPD que afectan a la organización de las empresas  

El RGPD incluye una serie de novedades que obligan a las empresas a implementar cambios organizativos en sus departamentos, estructuras y personal.    

1. Un usuario mucho más protegido

En primer lugar, destacamos los derechos que el usuario ve reforzados con la entrada en vigor del RGPD y que deben marcar la hoja de ruta de las empresas, de cara al consumidor, para cumplir con la normativa:  

• En cuanto al consentimiento, la forma en la que ha de prestarse garantiza un menor riesgo para los derechos de las personas físicas además el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales»: 

• • Características: 

• • • Libre 
    • Específico 
    • Informado 

• Ha de ser inequívoco cuando los datos del interesado son identificativos, de contacto o similares sin embargo cuando el tratamiento sea de datos de carácter especial, la adopción de decisiones automatizadas con efectos jurídicos para el afectado, se trate de una transferencia internacional de datos sin garantías especiales o el tratamiento sea el envío de comunicaciones comerciales, el consentimiento ha de ser explícito. 
• Otorgado para todos y cada uno de los fines de tratamiento. 
• Establece nuevas condiciones cuando se solicita por medios electrónicos. 
• Establece nuevas condiciones cuando el interesado es un menor. 
• Derecho de rectificación, cancelación y oposición: una asignatura pendiente para muchas empresas, donde menos del 40% atiende a sus demandas.  
• Derecho al olvido o el derecho de cancelación en el entorno on line.  
• Derecho de acceso de las personas a los datos que han cedido, así como a la finalidad de su tratamiento, destinatarios, etc.
• Derecho a la portabilidad: los interesados tienen derecho a recibir los datos que hayan facilitado a un responsable, así como transmitirlos a otros proveedores cuando el tratamiento se realiza por medios automatizados.  
• Denuncias e indemnizaciones: los interesados pueden interponer denuncias a través de las asociaciones de usuarios y reclamar indemnizaciones por los daños y perjuicios derivados de tratamientos ilícitos. 

2. Cláusulas informativas en armonía con la protección del usuario 

 Como hemos destacado, el consentimiento inequívoco y explícito de los interesados es una de las principales novedades que trae el RGPD. Por ello, las empresas deben adaptar y simplificar la información que facilitan al interesado para recabar el consentimiento de los interesados conforme al reglamento.  

Sin embargo, actualmente, el 69% de las empresas incluyen cláusulas informativas en sus formularios y tan solo el 58% disponen de estas en sus contratos.   

A continuación, recordamos la información que ha de facilitarse al interesado en el momento de recabar sus datos:  

• La identidad y los datos de contacto del responsable del tratamiento. 
• El contacto del delegado de protección de datos (en su caso).  
• La finalidad y la base jurídica del tratamiento. 
• El interés legítimo perseguido por el responsable o un tercero cuando el tratamiento se base en dicho interés. 
• Los destinatarios o categorías de destinatarios de los datos personales. 
• La existencia de transferencias internacionales de datos personales y la existencia o ausencia de una decisión de adecuación de la Comisión.  
• El plazo de conservación de la información recogida cuando sea posible y en su defecto los criterios utilizados para determinar el plazo. 
• Informar de la posibilidad de ejercer sus derechos. 
• Informar que puede retirar el consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento. 
• El derecho a presentar una reclamación ante la autoridad de control  
• La existencia de decisiones automatizadas.

¡Comparte! Las empresas deben simplificar los textos informativos que envían al usuario, evitando jergas legales innecesarias 

3. Más responsabilidades para el responsable y el encargado de tratamiento de datos 

Para el responsable del tratamiento de datos (la empresa) el RGDP añade obligaciones a destacar las siguientes, generales en el RGPD:  

• La responsabilidad que implica para el responsable aplicar las  medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas han de ser revisadas y actualizadas cuando sea necesario. 
• Aplicar el principio de Protección de datos desde el diseño y por defecto tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento que implica para el responsable aplicar medidas técnicas y organizativas apropiadas a fin de cumplir los requisitos del presente RGPD. 
• Mantener un registro de tratamiento de datos. 

El encargado del tratamiento, a quien corresponde cumplir con las instrucciones del responsable del tratamiento, tiene las siguientes obligaciones: 

• Mantener un registro de actividades de tratamiento. 
• Determinar las medidas de seguridad aplicables a los tratamientos que realizan. 
• Asignar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

En el último informe elaborado por la Asociación Española de Protección de Datos (AEPD) revela que tan solo al 60% de las empresas les consta la obligación de registro tanto para responsables como para encargados.  

Departamentos clave en el cambio organizativo de las empresas  

Tras la aprobación del RGPD, muchas empresas ponen el foco en las siguientes áreas:  

1. Departamento Legal. Hoy, las empresas necesitan invertir en servicios de asesoramiento especializado que gestione el tratamiento de las solicitudes, la documentación de los procesos, la publicación de las políticas de privacidad, etc. En España ya son el 81,3% las empresas que disponen de asesoramiento en esta materia.  

1. Recursos Humanos. Deben reforzarse los niveles de seguridad de los datos en esta área, también en los procesos de selección de personal.  

1. Departamento financiero. Información de cuentas bancarias, DNI, número de Seguridad Social de proveedores, clientes, empleados… Los datos con los que trabaja diariamente este departamento deben protegerse especialmente. 

”Ya son el 81,3% las empresas que disponen de asesoramiento legal en materia de protección de datos personales.” 

¿Cómo gestionan las empresas sus recursos de protección de datos?  

La AEPD, con el apoyo de Confederación Española de la Pequeña y Mediana Empresa (CEPYME) ha lanzado una encuesta dirigida a pymes para conocer cómo se han adaptado al RGPD. Pero ¿qué dicen los datos sobre su gestión en materia de protección de datos?  

• El 81,6% dispone de un servicio de asesoramiento sobre el RGPD o piensa contratarlo a corto plazo.  
• El 80,4% tiene elaborado el documento de seguridad en relación a las medidas de seguridad a implantar en los tratamientos con datos personales.  
• El 69,2% incluye cláusulas informativas en sus formularios de recogida de datos de los usuarios. 
• El 58% incluye cláusulas en materia de datos personales en los contratos que celebra con terceros en los que se van a tratar datos personales de los que la empresa es responsable.  
• Por último, tan solo el 39,5% ha atendido los derechos de acceso, rectificación, cancelación y oposición. 

 ¡Comparte el dato! Los recursos menos gestionados por las empresas son los relativos a formularios en Internet (17%).  

¿Está tu empresa preparada para cumplir el RGPD? A pesar de los desafíos que esta normativa presenta, gestionar los datos de tu empresa es muy sencillo si cuentas con las herramientas adecuadas.