Cualquier tipo de autónomo o empresa, independientemente de su tamaño, tendrá que estar adaptada al RGPD. Hacemos un repaso por los puntos más importantes a tener en cuenta.
- Podrás descargar la guía gratuita «RGPD. Guía para pequeñas empresas.» para que no se te escape nada
- Si no cumples con el nuevo Reglamento tendrás que hacer frente a una serie de multas millonarias
La entrada en vigor del nuevo RGPD ha supuesto un cambio muy importante respecto a la protección de datos y el tratamiento que tienen que hacer de ellos las empresas en su relación con los clientes, pero también con otras compañías y sus propios empleados.
Por ello, a modo de resumen queremos ofrecer algunas cuestiones que debemos conocer con la entrada en vigor del nuevo reglamento.
Cualquier empresa estará afectada por el nuevo RGPD. Si quieres ponerte al día de todo lo que necesitas descarga gratuitamente “RGPD. Guía para pequeñas empresas”.
Y no basta con cumplir con la LOPD, cuyo nuevo reglamento incorpora nuevos derechos para los ciudadanos, pero también más obligaciones para las empresas. Por ejemplo, se incorporan nuevas categorías de datos especiales, como los datos genéticos y los biométricos. Basta con tener un sistema para controlar los horarios por huella digital para tener que incluir dichos datos como de especial protección.
Demostrar que se cumple con el RGPD
El nuevo reglamento es más garantista con los ciudadanos. El cambio fundamental está en lo que se llama el principio de responsabilidad proactiva, que implica que será ahora la empresa la que debe demostrar que cumple con la normativa y ha tomado las medidas necesarias para evitar un incidente.
Y esto es muy importante, porque no basta con cumplir las exigencias y despreocuparse, como ocurría con la LOPD. En todo momento, la empresa debe estar en condiciones de demostrar que cumple con los requisitos que impone el reglamento. En este sentido, si existe un problema y se han puesto en riesgo los datos de los clientes, la compañía dispone de 72 horas para comunicarlo a la AEDP o la autoridad que proceda en cada país.
¿Qué cambios debemos hacer?
Ya no bastará con el consentimiento tácito de los usuarios. La redacción del tratamiento de datos ha cambiado, por lo que es necesario recoger una nueva aceptación de las nuevas condiciones de protección de datos. Esto puede resultar bastante engorroso para las empresas, ya que significa recabar de nuevo la firma del documento de tratamiento de datos de sus clientes, pero también colaboradores o trabajadores.
Además, es necesario actualizar la redacción para adaptarla a los nuevos requisitos de los avisos de protección de datos que aparecen en páginas web o cualquier otro medio electrónico por el que la empresa se comunique con sus clientes. Un ejemplo es el disclaimer, o aviso que aparece al final del correo electrónico en muchas organizaciones.
¿Qué es delegado de protección de datos y qué empresas necesitan uno?
Para las organizaciones de mayor tamaño aparece una nueva figura de referencia, el delegado de protección de datos. Se trata de un profesional con conocimientos especializados en Derecho y protección de datos, que cuente con la experiencia necesaria y la formación adecuada. Además de informar y asesorar a las empresas, será el supervisor del cumplimiento del RGPD y la referencia para los titulares de los datos que quieran ejercer sus derechos.
Están obligadas a incorporar esta figura las empresas que realicen tratamiento de datos de forma masiva. Y será muy recomendable que también lo hagan aquellas que tratan datos especialmente protegidos.
Mi empresa solo realiza tratamiento de datos básicos, ¿qué necesito hacer?
Hay empresas que realizan un tratamiento de datos muy básico. En este sentido, la AEPD ha creado una herramienta que a modo de cuestionario online determina el nivel de tratamiento de datos que realiza la empresa. Para los casos más sencillos, genera una serie de documentos con las cláusulas informativas que se deben incluir en sus formularios de recogida de datos personales, contractuales.
También genera un anexo con las medidas de seguridad orientativas que debería cumplir. Pero, cuidado, tener dichos documentos no implica el cumplimiento automático del RGPD. Es interesante realizar dicho cuestionario, ya que, en el caso de necesitar un nivel de protección mayor, nos advierte de la necesidad de realizar un análisis de riesgos.
Los datos deben protegerse desde el principio. La empresa tiene que ser consciente en todo momento de los riesgos que asume y proteger los datos para evitar fugas o incidentes. Las empresas de gran tamaño tienen que llevar un registro de la finalidad del tratamiento, así como los datos implicados. Esto también afectará a las pymes que realicen un tratamiento que entrañe un riesgo para sus derechos y libertades.
Las empresas extracomunitarias también se ven afectadas si realizan operaciones o tienen clientes en la UE
La nueva legislación será de obligado cumplimiento para todas las empresas de la UE, pero también para aquellas que sin tener su sede en territorio comunitario operen dentro del mismo. Así que, si tenemos clientes dentro de la UE, habrá que cumplir con el nuevo RGPD. Esta es una garantía para los ciudadanos de la Unión, para que dichas empresas no se amparen en la legislación de sus propios países, que muchas veces son menos exigentes.
¿Qué son las transferencias internacionales de datos?
Es muy importante ser especialmente cuidadosos con las transferencias internacionales de datos. Muchas empresas ubican sus datos en la nube sin saber de forma fehaciente dónde se están guardando, si se trata de una país de la UE o fuera de la misma.
Lo mismo ocurre si se utilizan aplicaciones que transfieren datos a otras plataformas de forma automática. Un ejemplo muy común sería el caso de WhatsApp y Facebook, algo que muchas pequeñas empresas utilizan para comunicarse con clientes y donde la transferencia y seguridad de los datos puede ser un problema.
¿Qué sanciones puede sufrir mi empresa si no cumple?
Si no estamos todavía seguros de la importancia que tiene este RGPD, hay que tener en cuenta que las sanciones que puede sufrir nuestra empresa son muy severas. Un incumplimiento puede llegar a suponer el pago del 4% de nuestra facturación o hasta 20 millones de euros. Y podrán ser sancionados incluso aunque no haya pérdida de los datos.
RGPD. Guía para pequeñas empresas.
El Reglamento General de Protección de Datos ha supuesto una revolución sobre cómo los datos personales han de ser recopilados, guardados y usados.
Siguiente lectura recomendada
Así queda la reducción del 21% al tipo 5% para determinados suministros
