Este 25 de mayo es la fecha límite para la aplicación del nuevo Reglamento General de Protección de Datos (RGPD), que supondrá un cambio radical en la gestión de los datos personales por parte de las empresas. ¿Está tu empresa preparada?
Considerada la normativa de mayor impacto desde la Directiva Europea de Protección de Datos de 1995, el RGPD (o GRDP, por sus siglas en inglés) exigirá cambios profundos y a gran escala en la gestión de la privacidad, en todas las organizaciones. Más estricto y exhaustivo en sus exigencias, el nuevo reglamento contempla sanciones que pueden llegar hasta el 4% de la facturación anual mundial de una empresa o hasta los 20 millones de euros, si se trata de una persona física.
¿A quién aplica?
Si tu empresa dispone de datos de carácter personal de ciudadanos de la Unión Europea, los recopila, guarda, trata, usa o gestiona, estás obligado a cumplir con la nueva regulación, independientemente de la actividad o el país de origen de la compañía.
¿Qué contempla?
Como ha comunicado la Agencia Española de Protección de Datos en diversas guías e infografías, la normativa busca dar más poder a los ciudadanos, que ahora tendrán que otorgar su consentimiento explícito e inequívoco para que las empresas puedan usar sus datos.
Además, extiende los derechos de los ciudadanos para proteger sus datos personales, reforzando los ya conocidos derechos de acceso, rectificación, cancelación y oposición. Así contempla:
- Derecho a conocer, que los ciudadanos puedan saber para qué se utilizan los datos: quién los tiene, para qué los utilizan, a quién los pueden ceder y quiénes son sus destinatarios. Esto implica que las empresas tendrán que informar si los datos se utilizan para elaborar perfiles o acciones automatizadas, por ejemplo, o a qué personas o empresas son cedidos los datos.
- Derecho al olvido, que los datos personales se eliminen por completo una vez que ya no sean necesarios para la finalidad por la que fueron recogidos; que hayan dejado de estar consentidos; o que se hayan recopilado ilícitamente.
- Derecho de oposición, en caso de que la empresa haga un tratamiento por motivos personales –salvo que se acredite un interés legítimo-, o cuando lo haga específicamente con el objetivo de marketing directo, como el envío masivo de correos electrónicos.
- Derecho a la portabilidad, que los ciudadanos puedan recuperar los datos en un formato estructurado, de uso común y lectura mecánica -como una hoja Excel- para que puedan ser transmitidos a otro responsable y facilitar el cambio de proveedor, por ejemplo.
¿Qué medidas debe tomar mi empresa?
El nuevo Reglamento General para la Protección de Datos supone un mayor compromiso por parte de las empresas y organizaciones, que deberán inventariar, evaluar y corregir cómo se están tratando los datos de sus empleados, clientes, usuarios web y de redes sociales. Entre los principales aspectos a revisar destacan:
Obtención de consentimiento:
El RGPD exige que el consentimiento sea libre, específico e informado. Ya no serán válidos los consentimientos tácitos o por inacción –como las casillas pre-marcadas–, ni tampoco los consentimientos genéricos, o con largas cláusulas ilegibles o incomprensibles.
La solicitud de consentimiento deberá realizarse de forma inteligible y de fácil acceso, con un lenguaje claro y sencillo. El interesado deberá realizar una acción positiva para dar su consentimiento, y éste deberá ser específico para cada una de las finalidades del tratamiento.
Revisión de cláusulas informativas:
Cada uno de los avisos legales y cláusulas informativas deberán revisarse y adaptarse a las nuevas normativas, incluyendo nueva información como la base jurídica del tratamiento y el plazo de conservación de los datos, entre otros.
Nuevos contratos con proveedores:
En el caso de proveedores que requieran acceder a datos personales para cumplir con sus tareas, estos deberán firmar nuevos contratos que incluyan cláusulas específicas como la descripción detallada de los servicios prestados o las medidas de seguridad aplicadas.
Medidas de gestión y seguridad:
Las empresas deberán aplicar medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de los datos, según un criterio de responsabilidad proactiva y teniendo en cuenta todas las normativas de gestión y protección, desde el diseño y por defecto.
Delegado de Protección de Datos:
Deberán incorporar obligatoriamente la figura del Delegado de Protección de Datos, las organizaciones cuyas actividades principales consistan en operaciones de tratamiento de datos que requieran el seguimiento regular y sistemático de los interesados a gran escala; o que traten categorías especiales de datos a gran escala.
