Para cumplir el deber de informar que establece el RGPD (Reglamento Europeo de Protección de Datos), en vigor desde el 25 de mayo de 2018, es recomendable que sigas unas pautas.
Aunque la LOPD (Ley Orgánica de Protección de Datos) de 1999 ya estableció determinados derechos para el usuario, denominados ARCO, esta legislación los amplía. Nosotros te ofrecemos una guía de consejos prácticos para que no te resulte difícil cumplir con esta obligación.
Guía para cumplir con el deber de informar de la RGPD
El deber de informar está íntimamente relacionado con el concepto de consentimiento, que en el RGPD tiene que ser explícito. Por lo tanto, cualquier empresa u organización que trate con datos personales ha de hacer saber al usuario que los va a utilizar, la forma y las opciones que tiene de ejercer sus derechos.
Además, es importante recordar que la información tiene que alcanzar determinados ámbitos que antes no obligaban a la empresa o administración, de manera que, si lo desconoces, te expones a sanciones.
Sanciones por incumplir la protección de datos
Una de las principales novedades del nuevo reglamento está en el régimen sancionador, puesto que las multas pueden alcanzar los 20 millones de euros o el 4 % de la facturación de un negocio.
Por esta razón, asegurarte de que haces las cosas bien ya no es una cuestión de imagen, sino, sobre todo, una forma de evitar perjuicios económicos para tu compañía u organismo público.
Es importante recordar que la legislación comunitaria tiene prioridad sobre la nacional y que, por lo tanto, todos estamos obligados a cumplir la nueva normativa de protección de datos.
Para realizar una correcta gestión de la información del usuario, según lo establecido en la legislación europea, es recomendable que sigas los siguientes pasos de forma metódica:
1. Redacta el documento ampliando la información
Como base para empezar, la notificación al usuario de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) está y, de hecho, la nueva reglamentación no los contradice. Lo que sí sucede es que se amplían los supuestos de información, de manera que tendrás que redactar de nuevo el aviso para cumplir con la nueva legislación.
Como puede ser algo farragoso, te recomendamos que te asesores con algún experto en la materia, porque son varias las áreas que tienes que cubrir y es perfectamente posible que, por desconocimiento, dejes alguna al margen.
La empresa que realice el tratamiento de datos ha de incluir otras cuestiones específicas que se enumeran en el reglamento. Estas son el contacto con el Delegado de Protección de Datos (DPO), los plazos de conservación, la legislación que justifica el tratamiento de datos, la posibilidad de transferirlos, las elaboraciones automatizadas, y la posibilidad de reclamar. Si has obtenido los datos de otras fuentes, es tu obligación hacer constar el origen.
2. Considera el registro que vas a utilizar
La notificación tienes que realizarla para el tratamiento de datos en cualquier soporte, no solo informático. Por lo tanto, has de prever esta eventualidad, porque el consentimiento explícito obliga a disponer de algún tipo de firma o constancia.
La LOPD permitía el consentimiento tácito en determinadas cuestiones de menor interés, pero la legislación europea ha eliminado esta distinción, por lo que la obligatoriedad se generaliza para todos los casos.
Si trabajas con medios telemáticos, será suficiente con un formulario automático en el que el usuario explicite su consentimiento ante cualquier eventualidad relacionada con el tratamiento de datos. El modelo más habitual es el de enviar una advertencia informativa previa al usuario, pidiendo la autorización, en la que este, mediante un simple clic, pueda dar su conformidad e imprimir el documento para su uso particular.
Si no tienes comunicación telemática con el usuario, tendrás que entregar un formulario físico para que te concedan la autorización, antes de realizar cualquier gestión que implique tratamiento de datos personales. Todo profesional debería contemplar esta posibilidad y tener la documentación necesaria.
3. Ten presente el timing
La legislación explicita determinados momentos en los que tienes que cumplir con el deber de informar al usuario, porque la obligación siempre la tiene el responsable de tratar los datos. Por lo tanto, te corresponde a ti realizar las acciones tendentes a garantizar sus derechos, porque, de lo contrario, se te pueden aplicar sanciones.
Como principio general, tendrás que notificar el tratamiento de los datos antes de que el usuario se registre en tu base de datos. Por esta razón, te recomendamos que tengas el formulario preparado para automatizar el proceso y evitar dilaciones indebidas. Ya no es una cuestión de obligación legal, sino también de eficiencia para el servicio que ofrezcas.
Ahora bien, el reglamento contempla la posibilidad de que, si obtienes los datos indirectamente, lo hagas en un plazo razonable que nunca puede exceder de los 30 días y, en cualquier caso, anterior a la utilización de los mismos.
4. Evita duplicar los procesos
Está bien que, ante la duda, preguntes dos veces antes de incumplir lo establecido por la legislación para informar al usuario, porque el coste de oportunidad de no hacerlo es francamente elevado. Ahora bien, si cuentas con un fichero automatizado y con un Delegado de Protección de Datos (DPO) que realiza las funciones que tiene encargadas por ley, no deberías tener la necesidad de duplicar el procedimiento.
Te en cuenta que un exceso de notificaciones no estrictamente necesarias genera incertidumbre en el usuario y, en consecuencia, desconfianza. Lo bueno, si es simple, dos veces bueno. Por nuestra experiencia con compañías que ya han implementado lo establecido en la nueva legislación, si sigues lo que se especifica, te será fácil.
Conclusión: cumplir con la LOPD y el RGPD
Cumplir con el deber de informar que establece el RGPD es relativamente fácil, una vez que cuentes con la información y las herramientas necesarias para garantizar los derechos de los clientes y usuarios. Clickdatos te ofrece un servicio de asesoría integral en protección de datos para ejecutar las nuevas exigencias de la legislación comunitaria con garantías de éxito. Contacta con nosotros y te informaremos con más detalle de las posibilidades que te ofrecemos para adaptarte.