¿Qué debemos saber del nuevo Reglamento de Protección de datos?
Desde el pasado viernes 25 de mayo, se hizo de obligado cumplimiento el nuevo reglamento de Ley de Protección de datos de la Unión Europea, el cual entró en vigor el 24 de mayo de 2016.
Son muchas las novedades introducidas por dicho reglamento, una de ellas es que todo ciudadano europeo tendrá que dar su consentimiento de forma clara e inequívoca para que las empresas puedan usar sus datos.
Las empresas deberán informar de qué datos específicos están utilizando, como los están tratando, con qué finalidad y quien es la persona responsable de dichos datos.
Dado que es un tema complejo y de sumo interés tanto para las empresas como para los ciudadanos, en el post de hoy explicaremos en qué consiste esta ley, como nos puede afectar y cuáles son las acciones deben realizar las empresas para dar cumplimiento a esta ley.
Durante estos meses, muchos ciudadanos han podido apreciar en muchas páginas web o redes sociales menciones que hacen referencia a la nueva ley de protección de datos. Pero, realmente, ¿sabemos en qué consisten los cambios que introduce la nueva ley?
El objetivo que tiene la nueva Ley de Protección de Datos (más conocido como Reglamento General de Protección de Datos, ahora GDPR) es que nuestros datos personales, los registros de quienes somos, donde nos encontramos, o qué acciones realizamos no sean utilizados de forma malintencionada o en desconocimiento nuestro, y que, únicamente posean nuestros datos, quien nosotros queramos que los tenga.
¿Quién está obligado a aplicar la GDPR?
Todas las empresas y organizaciones que cumplan las siguientes características tendrán que aplicar dicha ley:
Organizaciones y empresas que se encuentren en cualquier país de la Unión Europea.
Organizaciones y empresas, que, a pesar de que no se encuentren dentro de la Unión Europea, procesarán datos de individuos residentes en dicha Unión Europea.
Y… ¿Si incumplo dicha normativa?
La respuesta es sencilla. Si una empresa u organización incumple esta ley, se le aplicarán sanciones. La penalización aplicable por dicho incumplimiento puede llegar a alcanzar un importe de hasta el 4% de las ventas de la empresa efectuadas durante el año anterior, o incluso a los 20 millones de euros. La penalización aplicable siempre será la más alta de las dos opciones anteriores.
Por lo tanto, las empresas tienen que tener especial cuidado en esta materia.
¿Cómo deben cumplir las empresas con la GDPR?
De una forma u otra las empresas almacenan datos de sus trabajadores, tales como sus nombres, teléfonos, direcciones, documentos de identidad…, así como también lo harán de sus clientes. Toda esta información deberá ser tratada siguiendo las directrices del nuevo reglamento de protección de datos.
El mayor cambio que deberán cumplir las empresas es que las mismas deberán solicitar consentimiento expreso y específico para cada ciudadano y para cada finalidad o uso de datos.
La Agencia Española de Protección de Datos podrá solicitar en cualquier momento el consentimiento otorgado por algún ciudadano o algún trabajador cuando así lo consideren necesario, por lo que es importante llevar este tema correctamente y al día.
El tratamiento inicial que debemos dar a los datos podría seguir los siguientes pasos:
En primer lugar, debemos asegurarnos de que la información que hemos obtenido y guardado es correcta.
Seguidamente deberemos identificar cuáles de los datos que hemos considerado correctos deberemos mantener en nuestros registros
Es importante revisar las políticas de privacidad y actualizarlas con los procedimientos de seguridad
Por todo lo anterior, es muy importante respetar los derechos de libertad de elección e intimidad de las personas, contando con programas fiables que adopten la GDPR y obteniendo el consentimiento de todas las personas de las que tengamos información.
Si no estáis seguros de sí vuestra empresa está cumpliendo correctamente con la nueva normativa, a continuación, vamos a tratar de daros un seguido de pautas para dar cumplimiento a dicha normativa de forma adecuada.
Actuaciones para el correcto cumplimiento del Reglamento de Protección de Datos
1. El nuevo reglamento considera como una infracción grave el mantener ficheros, locales, equipos, o programas que no contemplen las medidas de seguridad necesarias para garantizar correctamente la seguridad de los datos personales que tenemos en nuestra posesión. Por lo tanto, no podremos registrar datos de carácter personal en ficheros que no reúnan la condición anterior, y que debe ser aplicable tanto en programas informáticos, equipos, sistemas…
2. La Agencia Española de Protección de Datos facilitó un documento de seguridad editable y disponible en formato Word, que las empresas deben cumplimentar informando y describiendo los ficheros de carácter personal que manejan (nombre del fichero, finalidad, uso previsto, como recogerán los datos…), nombrar a un responsable de seguridad, registro de incidencias, medidas alternativas en caso de no poder adoptar las establecidas en la nueva ley, identificar los soportes o dispositivos de almacenamiento de dichos datos…
3. Deberán inscribirse los ficheros de datos personales en el Registro General de Protección de Datos antes de empezar a recopilar datos personales. Para ello, la Agencia Española de Protección de Datos facilitó lo que se conoce como el formulario NOTA, que permite la inscripción telemática de ficheros y que es especialmente útil para dar cumplimiento a esta obligación.
4. En caso de que se delegue una figura externa o tercero (encargados del marketing, asesores o gestorías…) para que traten datos personales por solicitud nuestra, deberemos tener un contrato de tratamiento de datos en el que sean especificadas de forma completa y clara las instrucciones que realizará la persona responsable del fichero.
5. Es muy importante informar a los trabajadores de cuestiones sobre cómo usar internet y el correo electrónico corporativo, establecer políticas de privacidad sobre los datos de los trabajadores de la empresa, los trabajadores deben guardar en los lugares correctos documentos que contemplen datos personales…
6. Respecto a la página web de la empresa, es muy importante que la misma tenga un apartado dedicado a lo que se conoce como Aviso Legal (no tiene porque establecerse con esta denominación en concreto) en el que deberemos incluir aspectos de política de privacidad y hacer referencia a la nueva ley de protección de datos. Es muy importante también hacer mención a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) que trata el uso de ‘’cookies’’ y los envíos comerciales por correo electrónico.
7. Debemos contemplar lo que se conoce como Derecho ARCO (Derecho de acceso, rectificación, cancelación y oposición). Este derecho, es un derecho que tienen las personas físicas para controlar quien tiene sus datos personales, así como el uso que se les otorga a los mismo, controlando así, su privacidad e intimidad. El ciudadano podrá solicitar al responsable del fichero de sus datos, que estos sean rectificados o cancelados en cualquier momento para fines de publicidad o comercial.
8. Es importante que cada dos años, las empresas que traten datos de seguridad muy altos, revisen sus medidas informáticas, físicas, de organización o documentación impuestas en su momento sobre el tratamiento que se da a los datos personales y sobre el correcto funcionamiento de la empresa en este aspecto.
Por último, realizaremos una breve explicación sobre el consentimiento (concepto al que hemos hecho referencia anteriormente). El consentimiento de las personas de las que tratemos datos personales debe ser realizado de forma clara, inequívoca, completa y libre.
El consentimiento puede ser otorgado por la persona de forma claramente expresa o tácita, salvo en datos especialmente protegidos, en que la nueva ley exige que el consentimiento sea otorgado de forma expresa y escrita.
El hecho de no solicitar el consentimiento de las personas de las que tratemos datos personales es un hecho considerado como infracción grave o muy grave en función de los datos tratados.
Esperamos que os haya servido de ayuda y os quede un poco más claro en qué consisten las nuevas medidas que introduce el nuevo reglamento, así sobre qué cuestiones debemos tener en cuenta para mejorar la seguridad y corrección de nuestra empresa. No obstante, no dudes en contactar con nosotros, ya que contamos con grandes profesionales del sector, que estarán encantados de prestarte un asesoramiento cercano y profesional ayudándote a resolver todas tus dudas respecto a la nueva ley de protección de datos.
Gracias por leernos, suscribete para no perderte ninguna de nuestras actualizaciones y estate al dia con Asesoria VH