La aplicación del RGPD es uno de los temas que más están preocupando a los empresarios. La fecha límite para la adaptación al mismo termina este año 2018 y para entonces es necesario que todas las empresas cumplan con las novedades del RGPD.
Aplicación del RGPD: pasos a seguir
En cuanto a las novedades del RGPD existen ciertos puntos muy importantes que tendrás que actualizar en tu empresa. De lo contrario, no estarás al día de la ley.
Adaptación de la obtención del consentimiento
Si tu empresa está adaptada a los requisitos de consentimiento que imponía la normativa anterior, debes saber que esto no será suficiente a partir de ahora. Además del consentimiento explícito, libre inequívoco e informado, el nuevo reglamento impone la necesidad de que el usuario acepte las condiciones activamente.
Es decir, ya no será legal que una casilla esté marcada por defecto sino que será el usuario quien deba marcarla. Tampoco será legal que tu empresa ejecute su política de privacidad si el usuario ha ignorado la aceptación de estos términos.
Además, en el caso de los menores de 16 años, será necesario que la empresa pida un consentimiento explícito de los tutores.
Deber de información más amplio
La normativa anterior de la Ley de Protección de Datos imponía la obligación de informar al usuario de los siguientes estamentos:
– La existencia de un fichero de almacenamiento de datos y del tratamiento de las informaciones de carácter personal.
– El nombre del responsable del tratamiento de dichas informaciones.
– La finalidad por la cual son recogidos esos datos.
– La identidad de los destinatarios de los datos recogidos.
– La existencia y ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) del titular de la información.
– Si los datos han sido recogidos desde terceros, el responsable del tratamiento tiene un plazo de tres meses para informar al titular de la identidad de quien se los ha facilitado.
Con la aplicación del nuevo reglamento, a estas obligaciones se le sumarán las siguientes:
– Explicación de las bases legales sobre las cuales se regirá el tratamiento de los datos.
– El periodo durante el cual se almacenarán y tratarán las informaciones recogidas.
– La posibilidad de los usuarios y consumidores de reclamar ante las autoridades de protección de datos si creen que el tratamiento es incorrecto.
– Si las informaciones se recogen a través de terceros, el plazo para notificar quién ha aportado la información se reduce a un mes.
Aumento en los derechos de los titulares de los datos
Hasta ahora, los derechos con los que contaba el usuario o consumidor eran los denominados derechos ARCO. Ahora, tu empresa deberá garantizar más derechos. Así pues, se añade al de acceso, rectificación, cancelación y oposición el derecho a la transparencia de la información.
También será necesario garantizar el derecho a la supresión y olvido así como el derecho a la limitación y a la portabilidad. Por último, el responsable del tratamiento tendrá que proporcionar a los usuarios y consumidores la posibilidad de ejercer sus libertades a través de medios electrónicos.
Evaluar el impacto del tratamiento de datos personales
Este aspecto no se recogía en la normativa anterior, sin embargo, la aplicación del RGPD obliga a que se realice un estudio profundo del impacto que podría tener este tratamiento. Esto se aplica a aquellos datos que podrían provocar un riesgo elevado para los derechos y libertades de los usuarios y consumidores. Así pues, el responsable de estas informaciones deberá analizar el origen, naturaleza, particularidad y gravedad de los datos recogidos.
Debido a la importancia de esta evaluación debes saber que la Agencia Española de Protección de Datos publicó en 2014 una Guía para una Evaluación de Impacto en la protección de Datos Personales. Por tanto, si necesitases orientación para la realización de este informe, este documento podría serte de gran ayuda.
Comunicación de los fallos en la seguridad a las autoridades de control
Esta es una nueva adaptación a la que obliga el nuevo Reglamento General de Protección de Datos. A partir de ahora, el responsable del tratamiento de las informaciones de carácter personal tendrá que avisar a las autoridades de control en caso de que se produzca un fallo en la seguridad de su compañía. Este aviso tendrá que hacerse en un plazo máximo de 72 horas.
Además, en caso de que este fallo pueda vulnerar los derechos de los consumidores o usuarios, tu empresa deberá tener un sistema que notifique a los usuarios el fallo en la seguridad.
Registro del tratamiento de datos
Si tu empresa realiza gestiones con las informaciones personales que puedan suponer un riesgo para los derechos y libertades de las personas, cada una de estas gestiones deberá estar registrada. Asimismo, en caso de que tu empresa maneje datos especialmente sensibles, este registro siempre deberá hacerse.
Esto se establece en el artículo 30 del Reglamento General de Protección de Datos. Para cumplirlo, lo ideal es que integres este registro en el Documento de Seguridad hasta que la AEPD dé indicaciones más concretas.
Mayores medidas de seguridad
Ya no se llevará a cabo una valoración de los ficheros para estipular las medidas de seguridad. Por el contrario, estas se basarán en el estado de la técnica, los costes de aplicación y el riesgo que supone para las personas el tratamiento de los datos.
Por tanto, tu empresa deberá asegurar que estas medidas técnicas y organizativas son aptas para garantizar la integridad, seguridad y privacidad de los datos.
Nombramiento del Delegado de Protección de Datos
Para seguir la ley, tendrás que nombrar en tu empresa a una persona responsable que esté formada específicamente en el tratamiento de los datos. Así, la correcta gestión de los mismos estará mucho más asegurada.
Privacidad desde el diseño
Para garantizar la privacidad en los momentos previos a la recogida de datos, la aplicación del RGPD propone la adhesión a códigos de conducta y mecanismos de certificación por parte de las empresas. Así como sistemas que garanticen la verificación del cumplimiento.
Adaptación a las novedades del RGPD
Debido a la complejidad que supone la correcta aplicación del RGPD lo ideal sería contactar con una consultoría de protección de datos que pueda orientarte como empresario para la total adhesión de tu compañía al cumplimiento de la nueva norma. Ponerte en manos de profesionales es la opción con más garantías.
