¿Qué debe hacer tu empresa para cumplir con el RGPD?

por

Claves para cumplir con el RGPD

Con el auge de las nuevas tecnologías, los datos personales que manejan las empresas estaban flotando por Internet sin ningún tipo de control, pudiendo acceder a ellos desde cualquier punto, poniendo en riesgo la confidencialidad y privacidad. Para ponerle solución a esto, el 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos (RGPD), cuyo principal objetivo es dar un mayor control a las personas sobre sus datos personales, al cual deben acogerse todo tipo de empresas, organizaciones, organismos e instituciones que manejen datos confidenciales.

De lo contrario, si tu empresa no cumple con los requisitos marcados en el RGPD podría enfrentarse a fuertes sanciones de hasta 20 millones de euros o el 4% de la facturación anual, lo que pondría en riesgo su estabilidad y viabilidad en el futuro.

Conscientes de ello, a continuación te vamos a contar qué debe hacer tu empresa para cumplir con el RGPD, tanto para evitar esas fuertes sanciones, como para garantizar la confidencialidad a tus clientes y permitirles que estén tranquilos por la seguridad de sus datos.

Pasos para cumplir con el RGPD en tu empresa

Cualquier tiempo de empresa o entidad que maneje datos personales de terceras personas están obligadas a cumplir con el RGPD, que establece los siguientes requisitos: 

  1. Consentimiento de los clientes
  2. Obligación de informar
  3. Nombrar un Delegado de Protección de Datos (DPD)
  4. Registro de actividades de tratamiento
  5. Análisis de riesgos
  6. Notificación de incidentes de seguridad
  7. Evaluación de impacto
  8. Privacidad desde el diseño y por defecto
  9. Página web
  10. Nuevos derechos de los usuarios

Consentimiento de clientes

Ahora para tratar los datos de clientes deben darte su consentimiento de manera específica, así como indicar la finalidad con la que se van a usar los datos. Esto significa que para tratar cualquier dato personal de un cliente, debes asegurarte de que te haya dado su consentimiento.

Obligación de informar

Para cumplir con el RGPD también debes informar de una manera clara y por escrito del uso que vas a hacer de los datos. Esta información debe estar incluida en el documento en el que solicites el consentimiento de los clientes, así como en cualquier correo electrónico o factura emitida.

Delegado de Protección de Datos

Con el RGPD aparece la figura del Delegado de Protección de Datos (DPO), que es una persona que se encargará de supervisar que se está cumpliendo la normativa de protección de datos, y además ofrecerá su asesoramiento para garantizar el cumplimiento. Esta figura únicamente es obligatoria para determinadas empresas.

Registro de actividades de tratamiento

Debes registrar todas las actividades que realices para el tratamiento de los datos confidenciales, a través de un documento que refleje los tipos de datos que recoges, la finalidad del tratamiento, dónde almacenas los datos, si los cedes a alguien, lo medios que utilizas, etc.
Aquí entra en juego la destrucción de documentos confidenciales, que es un proceso fundamental para cumplir con el RGPD. Esto significa que hay que eliminar todos aquellos documentos que contengan datos confidenciales de personas y que ya no utilices, con el objetivo de garantizar su confidencialidad. Para ello debes destruir los documentos de tal manera que la información que contengan sea totalmente ilegible. 
Otro elemento importante es la digitalización de documentos, que se muestra clave para aumentar la seguridad de los documentos.

Análisis de riesgos

Otro punto importante es hacer un análisis de riesgos, elaborando un informe en el que se tengan en cuenta todos los elementos que puedan poner en riesgo la seguridad de los datos que almacenes. Hecho este análisis, hay que aplicar las medidas de seguridad necesarias para prevenir esos riesgos.

Notificación de incidentes de seguridad

También estás obligado a notificar cualquier incidente de seguridad tanto a las personas afectadas como a la Agencia Española de Protección de Datos. Debes notificar la brecha de seguridad en un plazo máximo de 72 horas.

Evaluación de impacto

Otro punto importante es hacer una evaluación de impacto cuando el tratamiento de los datos tenga un elevado riesgo. Debes elaborar un documento en el que se indiquen todos los riesgos detectados sobre la protección de los datos.

Privacidad desde el diseño y por defecto

La privacidad desde el diseño y por defecto supone que, antes de iniciar un tratamiento de datos, debes tener en cuenta cómo vas a protegerlos.

Es necesario adoptar medidas que garanticen que:

  • Solo se traten los datos necesarios para la finalidad para la que se solicitan
  • Se conservarán durante el plazo previsto
  • Solo podrán acceder a ellos las personas autorizadas

Esto se traduce en una serie de obligaciones como tener claro qué puedes manejar y qué medidas debes aplicar para protegerlos.

Página web

Si ofreces tus servicios a través de una página web, en ella debes incluir los siguientes textos exigidos por el RGPD:

  • Aviso legal.
  • Política de privacidad.
  • Política de cookies.

Nuevos derechos de los usuarios

Debes tener en cuenta que los clientes y usuarios tienen nuevos derechos respecto a sus datos personales: acceso, rectificación, cancelación y oposición. Asimismo, debes dejarles claro que tienen derecho a ejercerlos.

También hay que tener en cuenta otros derechos específicos: el derecho al olvido y el derecho a la portabilidad de los datos.

Deja un comentario