Con las nuevas tecnologías nuestros datos personales se encuentran pululando en la red sin ningún tipo de control.

Por eso se ha publicado el Reglamento General de Protección de Datos (RGPD). Para dar un mayor control a las personas sobre sus datos.

En esta guía gratuita encontrarás toda la información sobre los principales cambios y novedades que introduce la nueva norma europea.

Aplicación del RGPD

Todas aquellas empresas, entidades públicas o profesionales que manejen datos personales de terceros están obligados a cumplir el RGPD.

Su adaptación en nuestro país se hará mediante la nueva LOPD que aún se encuentra en trámite parlamentario.

Los pasos a seguir para adaptarte al RGPD son:

  1. Consentimiento de los clientes
  2. Obligación de informar
  3. Nombrar un Delegado de Protección de Datos (DPD)
  4. Firmar contrato con Encargados del tratamiento
  5. Contrato de confidencialidad con empleados
  6. Registro de actividades de tratamiento
  7. Análisis de riesgos
  8. Notificación de incidentes de seguridad
  9. Evaluación de impacto
  10. Privacidad desde el diseño y por defecto
  11. Página web
  12. Nuevos derechos de los usuarios

Ya sé que parece mucho.

Tranquilo, a continuación te explico cada paso.

guia reglamento europeo proteccion datos

¿Quién puede realizar el tratamiento de los datos?

Antes de conocer los pasos que debes seguir para adaptarte al RGPD debes saber qué datos puedes tratar y por qué.

Únicamente puedes tratar los datos personales que sean necesarios para la actividad que desarrollas. Por ejemplo: un taller no puede tratar datos de salud por que no los necesita.

El tratamiento de datos sólo es posible si se cuenta con una base legal adecuada. Es decir, debes tener una justificación para ese tratamiento.

Consentimiento

Antes, por el mero hecho de que un cliente te facilitara sus datos se entendía que te daba su consentimiento para tratarlos, es lo que se llama consentimiento tácito.

Ahora, según el RGPD, tus clientes deben otorgar de manera clara su consentimiento para que puedas tratar sus datos, es decir, un consentimiento expreso.

Pero, ¿puedo usar esos datos para cualquier finalidad?

Rotundamente no.

Verifica que dispones del consentimiento de todos tus clientes antes de tratar sus datos personales

Cuando los datos pretendan utilizarse para distintas finalidades, es importante que obtengas el consentimiento para cada una de ellas.

Para obtener el consentimiento puedes usar casillas, pero el RGPD establece que las casillas premarcadas o la simple inacción no constituyen una forma válida de prestar el consentimiento.

Menores

En cuanto al consentimiento en menores de edad se requieren unas precauciones específicas.

Deber de información

Antes de solicitar datos personales a tus clientes debes facilitarles información sobre:

  • identidad y datos de contacto del responsable (es decir, tuyos);
  • datos identificativos del delegado de protección de datos, en caso de tenerlo;
  • por qué se solicitan esos datos y para qué los vas a utilizar;
  • quién va a tener acceso a los datos;
  • si vas a transferirlos a terceros países;
  • plazo de conservación de los mismos;
  • derechos que le corresponden (acceso, rectificación, supresión, limitación, oposición, portabilidad, retirar el consentimiento y presentar una reclamación ante la autoridad de control)
  • si es obligatorio facilitar los datos y consecuencias de no hacerlo;

Esta información debes facilitarla por escrito y claro, no utilices una letra que no pueda leerse ni con lupa.

¿Y dónde hay que poner esa información?

Esto debes incluirlo en el documento donde solicites el consentimiento a los clientes. También en los emails que les envíes y en el pie de las facturas emitidas a particulares (ya que incluyen sus datos personales).

Asegúrate de incluir toda esta información cuando recojas los datos personales.

Delegado de Protección de Datos

El RGPD introduce una nueva figura: el Delegado de Protección de Datos (DPO).

Digamos que el DPO o DPD es aquella persona que va a supervisar el cumplimiento de la normativa de protección de datos y ha asesorarte en cualquier cuestión relacionada con esta materia. También el que, en caso de inspección de la AEPD, actuará de intermediario.

Sólo algunas empresas están obligadas a contratar en DPO, consulta aquí si necesitas un Delegado de Protección de Datos.

Contratos de confidencialidad

Con Encargados del tratamiento

Los encargados del tratamiento son los terceros que te prestan algún servicio y, para ello, acceden a datos personales que tú manejas, bien de tus clientes o bien de tus empleados.

Por ejemplo:

  • gestoría que te lleva los temas fiscales o laborales,
  • informático que realiza el mantenimiento de los equipos, etc.

Sí, seguro que tú también tienes terceros a los que cedes datos.

Con esos encargados del tratamiento debes firmar un documento, aquí te dejo el modelo del contrato con terceros.

Es más que recomendable que empieces a firmar esos contratos con los terceros que te prestan servicios y revises los que ya tienes para asegurarte que cumplen con los requisitos del RGPD.

Con empleados

Si tienes empleados ya sabes que tienen acceso a toda la información que maneja la empresa. Por eso deben firmar un acuerdo de confidencialidad con el que se evitará que esa información sea revelada a personas no autorizadas.

Igualmente están obligados a observar las medidas de seguridad implantadas por la empresa para garantizar la protección de los datos personales.

Comprueba que tienes firmado un contrato de confidencialidad con tus trabajadores

Registro de actividades

Es un documento en el que debes reflejar el tipo de datos que manejas y qué cantidad.

Debes incluir cuestiones como:

  • Tipo de datos que recoges
  • Finalidad del tratamiento
  • Dónde guardas esos datos
  • Si cedes esos datos o realizas transferencias fuera de nuestro país
  • Medios de tratamiento

Aquí te explico cómo realizar un registro de actividades de tratamiento.

Este registro debes mantenerlo actualizado porque te lo pueden pedir en caso de tener alguna inspección por la AEPD

Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

Análisis de riesgos

Seguimos… ahora lo que debes de realizar es un análisis del riesgos.

Se trata de un informe donde tendrás en cuenta los riesgos que pueden existir sobre los datos que manejas e intentar que no ocurran.

Una vez realizado este análisis, debes aplicar medidas de seguridad que sean capaces de impedir un ataque informático.

Aquí tienes más información sobre cómo realizar ese análisis de riesgos.

Notificación de brechas de seguridad

Esto es algo importante.

Según esta normativa europea tienes la obligación de notificar a los afectados (clientes o empleados) y a la Agencia Española de Protección de Datos las violaciones de seguridad de los datos que se produzcan.

Y además en un plazo de 72 horas.

Todos podemos ser víctimas de un ataque informático. Pero es importante estar prevenido.

¿Y qué hago?

Pues muy fácil.

Debes tener en cuenta unas medidas de seguridad como:

  • Guardar los datos que tengas en papel en archivadores bajo llave para evitar que accedan a ellos personas no autorizadas.
  • Si los datos los guardas en sistemas informáticos (ordenadores), debes tener contraseñas para acceder y antivirus.

En caso de que tengas un ataque informático, si puedes demostrar a la AEPD y a los clientes que estás haciendo todo lo posible para cumplir con la ley, la sanción que te pueden imponer será menor.

Evaluación de Impacto

A ver cómo te explico esto.

Cuando el tratamiento de datos previsto entrañe un alto riesgo para los derechos y libertades de los clientes, debes realizar una evaluación de impacto.

Se trata de un informe donde se indican los riesgos detectados sobre la protección de esos datos y las medidas necesarias para eliminarlos o reducirlos.

¿Y en qué casos hay un riesgo alto?

Se consideran factores de riesgo:

  • tratamiento de datos de personas vulnerables (por ejemplo, menores)
  • tratamiento de datos sensibles (de salud, por ejemplo)
  • elaboración de perfiles de comportamiento (para determinar gustos o preferencias de clientes) y
  • uso de tecnologías innovadoras (control de accesos con huella dactilar, por ejemplo) .

¿Estás en alguno de esos casos?

Revisa el tipo o el volumen de datos que tratas para ver si necesitas hacer esa Evaluación de impacto.

Privacidad desde el diseño y por defecto

Este es otro de los términos complicados que establece el RGPD.

Intentaré explicártelo de manera sencilla.

La privacidad desde el diseño y por defecto supone que, antes de iniciar un tratamiento de datos, debes tener en cuenta cómo vas a protegerlos.

Es necesario adoptar medidas que garanticen que:

  • solo se traten los datos necesarios para la finalidad para la que se solicitan,
  • se conservarán durante el plazo previsto y
  • solo podrán acceder a ellos las personas autorizadas.

Esto se traduce en una serie de obligaciones como tener claro qué puedes manejar y qué medidas debes aplicar para protegerlos.

Página web

Si ofreces los servicios a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el texto en el que se identifica al propietario de la página web.

En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Es obligatorio que exista un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la web y hacer una versión de esta más extensa, que incluya más información sobre el tratamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Dispones del consentimiento de los usuarios?
  • ¿Se tratan con fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

En caso de que en la web exista un formulario donde solicites datos personales, tendrás que informar expresamente de:

  • que realizas un tratamiento de los datos que se le están solicitando,
  • propósito,
  • destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • derecho a ejercer sus derechos de acceso, rectificación, cancelación y oposición y de qué forma.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, debes asegurarte de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son ficheros de información que se envían por una página web y y se guardan en el navegador del usuario que visita esa web. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Si en tu web utilizas algo de esto, estás obligado a cumplir con la ley de cookies.

La norma que regula las cookies es la propia LSSI.

En ese texto debe informarse sobre:

  • cookies utilizadas en la página,
  • su finalidad y
  • duración.

Te dejo un enlace a una página donde puedes analizar las cookies que usa tu web.

Nuevos derechos de RGPD

Estos son los derechos que tienen los clientes y usuarios respecto a sus datos personales.

¿Y en qué me afectan?

Pues te afectan porque tienes que garantizarles que puedan ejercerlos y darles una respuesta en caso de que lo hagan.

El Reglamento europeo de Protección de Datos sigue reconociendo los derechos ARCO:

  • acceso,
  • rectificación,
  • cancelación y
  • oposición

Y se añaden otros derechos específicos como:

Debes asegurarte de que puedes responder adecuadamente a las solicitudes que puedas recibir de tus clientes

Infracciones y sanciones

En el Reglamento General de Protección de Datos se establece un régimen sancionador con importantes sanciones económicas, pudiendo alcanzar incluso el 4% del volumen anual de facturación de una compañía o los 20 millones de euros en los casos más graves.

Por eso no debemos tomárnoslo a broma.

Además de las sanciones económicas, el nuevo RGPD prevé tres medidas adicionales:

  • Advertencia.
  • Amonestación.
  • Suspensión del tratamiento de datos.

La autoridad competente para la imposición de sanciones será la Agencia Española de Protección de Datos (AEPD).

Otra novedad muy importante es la posibilidad de que el perjudicado pueda solicitar una indemnización, algo que no contemplaba la anterior LOPD.

No existen exclusiones ni excepciones para los autónomos o pequeñas empresas.

Así que ponte las pilas.

Y empieza cuanto antes la adaptación a la Ley de Protección de Datos.

¿Necesitas cumplir el RGPD?

Guía del Reglamento Europeo de Protección de Datos (RGPD)
4.6 (92.86%) 14 votos

Deja un comentario