Este artículo no constituye ningún tipo de asesoramiento jurídico, ni la información en él contenida está pensada para reproducir la relación de un abogado-cliente. Solicita asesoramiento jurídico profesional si fuera necesario.
La fecha tope de mayo de 2018 para el cumplimiento del Reglamento General de Protección de Datos (RGPD, GDPR por sus siglas en inglés) está a la vuelta de la esquina, lo que significa que si aún no lo has hecho, es hora de que evalúes la situación de tu compañía en términos de cumplimiento.
El RGPD exige que las compañías de la Unión Europea o aquellas que recopilen datos de países europeos cumplan con las nuevas normativas sobre protección y seguridad de datos. Esto también afecta a empresas mundiales con sede fuera de la UE si se dirigen a una audiencia europea.
En el pasado ya publicamos el artículo sobre cómo nos estamos preparando para el RGPD, pero el siguiente paso es ayudar a nuestros clientes y partners a garantizar que ellos también conocen los pasos necesarios para cumplir ellos con el RGPD.
El RGPD es beneficioso para tu negocio ya que aglutina las diversas leyes de privacidad de datos vigentes en los 28 estados miembros, incluido el Reino Unido.
Si todavía no cumples con este reglamento o solo parcialmente, aún tienes tiempo para planificar, revisar políticas o invertir en nuevas tecnologías. A continuación compartimos contigo una serie de buenas prácticas para iniciar el proceso de cumplimiento:
Designa un Delegado de protección de datos (DPD; Data Protection Officer, DPO, en inglés)
El RGPD requiere la designación de un Delegado de Protección de Datos (DPD) en el caso de que:
- el procesamiento sea realizado por una autoridad u organismo público, a excepción de los juzgados que actúen en calidad de órgano jurisdiccional;
- las principales actividades del responsable o del encargado del tratamiento consistan en operaciones de procesamiento que, debido a su naturaleza, su alcance y/o su finalidad, requieran una supervisión de datos periódica y sistemática de los temas relativos a datos a gran escala; o
- las actividades clave del responsable o del encargado consistan en el procesamiento a gran escala de datos sensibles (datos que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, condiciones de salud u orientación sexual, etc.) o datos personales relacionadas con infracciones y condenas penales.
Este delegado supervisará y gestionará los datos y las operaciones exigidas por las normativas. Además, el DPD debe comprobar que no existen conflictos de interés en términos de protección de datos para tu organización.
Asegúrate de que tu DPD está listo para colaborar
Tus empleados son tu mejor apuesta para ayudarte a entender qué puede estar faltándole a las políticas de protección de datos actuales de tu compañía. Asegúrate de que el DPD y los equipos de IT, legal y de cumplimiento conocen a la perfección las prácticas de datos de la compañía. Deberán trabajar juntos para crear un proceso que cumpla con los requisitos exigidos con relación a la recopilación de datos en tu organización.
Ofrece transparencia y control
La información y el lenguaje utilizado en los consentimientos que ofrezcas a los clientes deben ser lo más claros y transparentes posible. Tu sitio web debe dejar de manera explícitamente clara y exacta lo que los clientes están aceptando o no, y, en concreto, qué tipos de datos te están proporcionando. Este es un factor clave de cumplimiento con el RGPD y podrás leer más sobre ello aquí.
Prioriza el control de los datos
Debes implementar un proceso de Evaluación del Impacto sobre la Privacidad para todo el procesamiento que pueda poner en riesgo los derechos de las personas. Además, tu empresa debe poder explicar cómo se están recopilando, usando o incluso editando los datos personales que recopila y debe tener procesos implantados que permitan a los ciudadanos de la UE suministrar, revisar y/o rechazar fácilmente dichos datos. El RGPD indica que es obligatorio garantizar que la infraestructura de datos de tu compañía mantenga registro de actividades de procesamiento y ofrezca visibilidad en el cumplimiento de tus prácticas.
Supervisa el acceso de los empleados y personal externo a los datos
Debes establecer políticas de autorización de empleados estrictas que limiten el acceso a los datos y garanticen la privacidad. Estas políticas deberán actualizarse continuamente para reflejar las necesidades de tu compañía y supervisarse para evitar infracciones, especialmente las relacionadas con las transferencias de datos. Según el Capítulo V del RGPD, las transferencias con destino fuera de la UE deberán cumplir las mismas condiciones de protección y regulación que las organizaciones de la UE.
Los requisitos del RGPD son estrictos y estar completamente preparado para ello exigirá mucho más que marcar casillas en una checklist. A pesar de todo lo que implica, el RGPD, tal y como nosotros lo vemos, solo puede ser algo bueno tanto para las empresas como para los consumidores, ya que ofrece consistencia y certeza en la privacidad y protección de datos.
Esta checklist y otros recursos te permitirán garantizar que tu organización está preparada cuidadosamente para cada normativa del RGPD y tendrás la certeza de que tu compañía puede continuar realizando sus negocios como de costumbre.