Las pymes y la protecci¨®n de nuestros datos
Gu¨ªa para las empresas que dudan en la aplicaci¨®n del RGPD
Los datos se han convertido en un gran activo para los negocios. Tanto es as¨ª que lleg¨® un momento en que era tal el n¨²mero de compa?¨ªas que dispon¨ªan de nuestro tel¨¦fono, nombre, direcci¨®n o conoc¨ªan nuestros gustos, preferencias o nivel adquisitivo que la UE decidi¨® tomar cartas en el asunto. En los ¨²ltimos a?os se han puesto en marcha diversas normativas para limitar el uso de nuestros datos y hacer que podamos saber en todo momento qui¨¦n tiene acceso a ellos, para qu¨¦ puede usarlos y c¨®mo los ha conseguido.
La medida m¨¢s importante fue el Reglamento General de Protecci¨®n de Datos (RGPD) que entr¨® en vigor en mayo de 2016 y que desde el 25 de mayo del a?o pasado es de obligado cumplimiento en Espa?a. Su incumplimiento puede conllevar multas y sanciones que alcanzan los 20 millones de euros, en el peor de los casos.
La cuesti¨®n es importante y preocupa a los empresarios. "Las recientes multas impuestas y el da?o continuo a la reputaci¨®n como resultado del incumplimiento regulatorio respaldan la seriedad con la que se afrontan estos riesgos", indican los responsables de la consultora multinacional Willis Towers Watson en su 6? Encuesta de Responsabilidad de Directores.
Dos a?os de margen tuvieron entidades p¨²blicas, organizaciones y empresas para adaptarse a la nueva forma de gesti¨®n de la informaci¨®n, sin embargo a¨²n hay rezagados que siguen sin aplicar las nuevas normas o no lo hacen correctamente. Resumamos lo que tiene que hacer y c¨®mo hacerlo.
1. Cumplir con el deber de informaci¨®n
Debe informarse a los titulares de los datos de qui¨¦n es el responsable del tratamiento, las finalidades que se persiguen, si existen cesiones a terceros y la direcci¨®n postal o electr¨®nica donde el titular pueda solicitar sus derechos de acceso, rectificaci¨®n, cancelaci¨®n y oposici¨®n. Todas las empresas est¨¢n obligadas a informar por cualquier canal a sus clientes de estos cambios.
2. Lograr el consentimiento expl¨ªcito
El consentimiento para el tratamiento de datos deja de ser t¨¢cito. Ya no vale que se d¨¦ por hecho, debe de haber una clara acci¨®n afirmativa. De hecho, el responsable de los datos debe tener pruebas de ese consentimiento.
Si tienes dudas, consulta esta gu¨ªa de la Agencia Espa?ola de Protecci¨®n de Datos (AEPD).
Un caso habitual
?Qu¨¦ ocurre si tienes un peque?o negocio y quieres de forma espor¨¢dica contactar con sus clientes? Supongamos, por ejemplo, el caso de un peque?o local, podr¨ªa ser una tienda de muebles o un restaurante, que desea mantener un contacto con sus clientes, para informarles de sus novedades mediante una newsletter mensual. Hacen acopio de sus direcciones de correo, sus nombres, y sus tel¨¦fonos en un listado. Mar L¨®pez Almagro, Socia de LOPD Preconlab, consultora de protecci¨®n de datos, explica que este negocio "deber¨ªa adaptar sus procesos de recogida de datos mediante un consentimiento expreso y para la finalidad de enviar comunicaciones comerciales". S¨ª, tendr¨ªa que haber constancia de ese consentimiento. Ya no vale con el hecho de que hayan sido los clientes en la tienda los que hayan aportado esa informaci¨®n. Tienen que rellenar y firmar un formulario.
"En todos los formularios de la empresa donde se recogen datos hay que mencionar que los clientes permiten expresamente enviarles publicidad". De hecho, algo tan sencillo como compartir una tarjeta de visita o un n¨²mero de tel¨¦fono "podr¨ªa transformarse en un problema legal si se hace de forma masiva y se considera que se est¨¢ cediendo una base de datos a un tercero", advierte Mar L¨®pez Almagro.
3. Registro de actividades de tratamiento
El RGDP obliga a informar, tanto a los propios usuarios como a la AEPD, sobre la recopilaci¨®n de los datos y el objetivo de la misma. La antigua inscripci¨®n de ficheros (vigente con la anterior LOPD 15/1999) es ahora sustituida por el registro de actividades de tratamiento efectuadas por cada responsable y, en su caso, encargado del tratamiento de datos. Ese registro incluye, entre otra informaci¨®n, los fines, las categor¨ªas de destinatarios a quienes se comunicaron o comunicar¨¢n los datos, las transferencias de datos personales a un tercer pa¨ªs, etc.
4. Realizar un an¨¢lisis de riesgos y adoptar medidas de seguridad
No es posible asegurar el derecho fundamental a la protecci¨®n de datos si no se es capaz de garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales, as¨ª que lo primero es estudiar el nivel de peligrosidad que hay entorno al tratamiento y almacenamiento que haces de la informaci¨®n que manejas. Puedes hacerlo mediante la herramienta FACILITA-RGPD. En los primeros pasos de este procedimiento v¨ªa web encontrar¨¢s unas preguntas que te ayudar¨¢n a determinar el grado de riesgo.
5. Comunicar incidentes de seguridad
Con los ciberataques a la orden del d¨ªa y las herramientas inform¨¢ticas en constante evoluci¨®n, ninguna empresa est¨¢ a salvo de sufrir un incidente. Si eso ocurriera, el RGPD introduce la obligaci¨®n de notificar a la autoridad competente, en este caso la AEPD, si se detecta una brecha de seguridad que afecte a datos personales. En determinados casos tambi¨¦n hay que avisar a las personas cuyos datos personales se hayan visto afectados por la violaci¨®n.
Aqu¨ª lo importante es tener establecidos de manera clara los mecanismos y procedimiento de notificaci¨®n de quiebras de seguridad. El pasado mes de marzo hubo 113 notificaciones, tres de ellas se est¨¢n investigando por si supusiera la existencia de riesgo alto para los derechos y libertades de los ciudadanos.
6. Valorar si los encargados de los datos ofrecen garant¨ªas
El RGPD define el tipo de contrato que debe vincular al responsable de los datos con el encargado de los mismos. En ¨¦l se deben especificar la relaci¨®n y las obligaciones de ambas partes ante la prestaci¨®n del servicio acordado. Si existiera un contrato vigente previo a mayo de 2018, cuando entr¨® en vigor el reglamento, es imprescindible incluir una cl¨¢usula al respecto que sea firmada por las partes.
Quiz¨¢s sea este el momento de valorar si el organismo o empresa encargada del tratamiento de los datos de mi compa?¨ªa es el m¨¢s adecuado y aclarar situaciones en las que puede ser dif¨ªcil distinguir cu¨¢ndo estamos frente a un encargado o a un responsable del tratamiento. La AEPD elabor¨® este documento que responde a muchas preguntas que te pueden surgir.
7. Designar un delegado de protecci¨®n de datos
No es una figura obligatoria en todas las empresas (consulta tu caso aqu¨ª), pero puede ser conveniente asumirla de manera voluntaria o en cualquier caso identificar a una persona responsable de coordinar la adaptaci¨®n para el correcto cumplimiento de las medidas del reglamento.
8. Atender correctamente los derechos de los ciudadanos
Nos referimos al derecho de acceso (para conocer y obtener informaci¨®n sobre sus datos de car¨¢cter personal sometidos a tratamiento), de rectificaci¨®n (el ciudadano puede solicitar la correcci¨®n de errores y la modificaci¨®n de los datos que resulten ser inexactos o incompletos), de cancelaci¨®n (cualquier persona puede solicitar que se supriman sus datos) y de oposici¨®n (puede negarse a que se lleve a cabo el tratamiento de sus datos de car¨¢cter personal o se cese en el mismo).
Adem¨¢s, los datos personales que solicitemos deber¨¢n ser adecuados, veraces y no excesivos. Es decir, no hay que solicitar m¨¢s datos de los necesarios, hay que mantenerlos actualizados y eliminarlos cuando ya no sean necesarios.
Y para finalizar una muy buena noticia, si la peligrosidad de tu empresa en el tratamiento de datos es considerada reducida, la herramienta online FACILITA-RGPD de la Agencia de Protecci¨®n de Datos antes mencionada te va a ser de gran ayuda, ya que acaba de ser actualizada y te permite obtener los documentos m¨ªnimos indispensables para facilitar el cumplimiento de la normativa.
