Cómo cumplir con el deber de informar en el RGPD

​Para cumplir el deber de informar que establece el RGPD (Reglamento Europeo de Protección de Datos), en vigor desde el 25 de mayo de 2018, es recomendable que sigas unas pautas.

Aunque la LOPD (Ley Orgánica de Protección de Datos) de 1999 ya estableció determinados derechos para el usuario, denominados ARCO, esta legislación los amplía. Nosotros te ofrecemos una guía de consejos prácticos para que no te resulte difícil cumplir con esta obligación.

Guía para cumplir con el deber de informar de la RGPD

El deber de informar está íntimamente relacionado con el concepto de consentimiento, que en el RGPD tiene que ser explícito. Por lo tanto, cualquier empresa u organización que trate con datos personales ha de hacer saber al usuario que los va a utilizar, la forma y las opciones que tiene de ejercer sus derechos.

Además, es importante recordar que la información tiene que alcanzar determinados ámbitos que antes no obligaban a la empresa o administración, de manera que, si lo desconoces, te expones a sanciones.

Sanciones por incumplir la protección de datos

Una de las principales novedades del nuevo reglamento está en el régimen sancionador, puesto que las multas pueden alcanzar los 20 millones de euros o el 4 % de la facturación de un negocio.

Por esta razón, asegurarte de que haces las cosas bien ya no es una cuestión de imagen, sino, sobre todo, una forma de evitar perjuicios económicos para tu compañía u organismo público.

Es importante recordar que la legislación comunitaria tiene prioridad sobre la nacional y que, por lo tanto, todos estamos obligados a cumplir la nueva normativa de protección de datos.

Para realizar una correcta gestión de la información del usuario, según lo establecido en la legislación europea, es recomendable que sigas los siguientes pasos de forma metódica:

1. Redacta el documento ampliando la información

Como base para empezar, la notificación al usuario de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) está y, de hecho, la nueva reglamentación no los contradice. Lo que sí sucede es que se amplían los supuestos de información, de manera que tendrás que redactar de nuevo el aviso para cumplir con la nueva legislación.

Como puede ser algo farragoso, te recomendamos que te asesores con algún experto en la materia, porque son varias las áreas que tienes que cubrir y es perfectamente posible que, por desconocimiento, dejes alguna al margen.

La empresa que realice el tratamiento de datosCualquier operación o procedimiento técnico, sea o no auto... More ha de incluir otras cuestiones específicas que se enumeran en el reglamento. Estas son el contacto con el Delegado de Protección de Datos (DPO), los plazos de conservación, la legislación que justifica el tratamiento de datos, la posibilidad de transferirlos, las elaboraciones automatizadas, y la posibilidad de reclamar. Si has obtenido los datos de otras fuentes, es tu obligación hacer constar el origen.

​2. Considera el registro que vas a utilizar

La notificación tienes que realizarla para el tratamiento de datos en cualquier soporte, no solo informático. Por lo tanto, has de prever esta eventualidad, porque el consentimiento explícito obliga a disponer de algún tipo de firma o constancia.

La LOPD permitía el consentimiento tácito en determinadas cuestiones de menor interés, pero la legislación europea ha eliminado esta distinción, por lo que la obligatoriedad se generaliza para todos los casos.

Si trabajas con medios telemáticos, será suficiente con un formulario automático en el que el usuario explicite su consentimiento ante cualquier eventualidad relacionada con el tratamiento de datos. El modelo más habitual es el de enviar una advertencia informativa previa al usuario, pidiendo la autorización, en la que este, mediante un simple clic, pueda dar su conformidad e imprimir el documento para su uso particular.

Si no tienes comunicación telemática con el usuario, tendrás que entregar un formulario físico para que te concedan la autorización, antes de realizar cualquier gestión que implique tratamiento de datos personales. Todo profesional debería contemplar esta posibilidad y tener la documentación necesaria.

3. Ten presente el timing

La legislación explicita determinados momentos en los que tienes que cumplir con el deber de informar al usuario, porque la obligación siempre la tiene el responsable de tratar los datos. Por lo tanto, te corresponde a ti realizar las acciones tendentes a garantizar sus derechos, porque, de lo contrario, se te pueden aplicar sanciones.

Como principio general, tendrás que notificar el tratamiento de los datos antes de que el usuario se registre en tu base de datos. Por esta razón, te recomendamos que tengas el formulario preparado para automatizar el proceso y evitar dilaciones indebidas. Ya no es una cuestión de obligación legal, sino también de eficiencia para el servicio que ofrezcas.

Ahora bien, el reglamento contempla la posibilidad de que, si obtienes los datos indirectamente, lo hagas en un plazo razonable que nunca puede exceder de los 30 días y, en cualquier caso, anterior a la utilización de los mismos.

4. Evita duplicar los procesos

Está bien que, ante la duda, preguntes dos veces antes de incumplir lo establecido por la legislación para informar al usuario, porque el coste de oportunidad de no hacerlo es francamente elevado. Ahora bien, si cuentas con un ficheroTodo conjunto organizado de datos de carácter personal, que... More automatizado y con un Delegado de Protección de Datos (DPO) que realiza las funciones que tiene encargadas por ley, no deberías tener la necesidad de duplicar el procedimiento.

Te en cuenta que un exceso de notificaciones no estrictamente necesarias genera incertidumbre en el usuario y, en consecuencia, desconfianza. Lo bueno, si es simple, dos veces bueno. Por nuestra experiencia con compañías que ya han implementado lo establecido en la nueva legislación, si sigues lo que se especifica, te será fácil.

Conclusión: cumplir con la LOPD y el RGPD

Cumplir con el deber de informar que establece el RGPD es relativamente fácil, una vez que cuentes con la información y las herramientas necesarias para garantizar los derechos de los clientes y usuarios. Clickdatos te ofrece un servicio de asesoría integral en protección de datos para ejecutar las nuevas exigencias de la legislación comunitaria con garantías de éxito. Contacta con nosotros y te informaremos con más detalle de las posibilidades que te ofrecemos para adaptarte.

Artículos relacionados

La compatibilidad del uso de Dropbox con la LOPD Actualmente, las empresas tienen a su disposición un mayor número de servicios en la nube, como es el caso de Dropbox. Se trata de nuevas herramientas que facilitan la vida de las compañías, pero suponen numerosos interrogantes respecto a su uso. Est...
La aplicación del RGPD en las administraciones locales El próximo 25 de mayo de 2018 entrará en vigor la Normativa Europea de Protección de Datos (RGPD). Esto significa que todas las organizaciones (públicas y privadas) con actividad en la Unión Europea tendrán que cumplir con las nuevas normas de protec...
ClickDatos en el Catálogo de empresas y soluciones de ciberseguridad de INCIBE ClickDatos colabora con INCIBE ClickDatos colabora con el Instituto Nacional de Ciberseguridad (INCIBE), entidad de referencia para el desarrollo de la ciberseguridad y la confianza digital de ciudadanos y empresas, formando pa...
Los derechos de los usuarios según la LOPD Cuando pensamos en la LOPD, tendemos a imaginar conceptos legales poco tangibles relacionados con la protección de datos. La realidad dista mucho de esta teoría ya que, si bien el asesoramiento de una consultoría de protección de datos es indispensab...
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *