Desde el pasado 25 de mayo de 2018, cualquier empresa o negocio que opere dentro de la UE debe cumplir con el Reglamento General de Protección de Datos (RGPD).
Han pasado ya 4 años y muchas empresas siguen teniendo problemas para cumplirlo. Aun cuando, en España, existe una Ley Orgánica de Protección de Datos en vigor desde diciembre de ese mismo año.
Si quieres conocer qué debes hacer para cumplirla, cualquier empresa de protección de datos te puede solucionar el poder cumplir con dichas normativas, pero no te pierdas este post porque te lo explico todo, pasito a pasito.
¿Qué vas a encontrar en este post?
¿Qué es la RGPD y qué objetivo tiene?
El Reglamento General de Protección de Datos (RGPD) desarrolla la protección de las personas físicas respecto al tratamiento de sus datos personales y a la libre circulación de estos.
Esta normativa regula el tratamiento de datos a nivel de la Unión Europea. Cualquier empresa o negocio que se ubique en la UE debe cumplir con la misma.
Las multas por no cumplir con el RGPD pueden elevarse hasta los 20 millones de euros. Por tanto, la adaptación al RGPD de cualquier empresa es vital hoy en día.
Por tanto, el objetivo del RGPD es la protección de los datos personales de las personas físicas dentro del ámbito de los derechos y libertades fundamentales dentro del territorio de la UE.
Estos derechos, como bien podrás suponer, no pueden ser ni restringidos ni prohibidos.
La protección de los datos personales se otorga a cualquier persona física, independientemente de su nacionalidad o lugar de residencia.
En cualquier caso, no es aplicable a tratamientos de datos de personas jurídicas, ni los datos de las personas físicas que trabajen o presten servicios en estas.
Eso sí, siempre y cuando, consistan solo en la incorporación al fichero de datos de sus nombres y apellidos, funciones, puestos desempeñados, dirección, tanto postal como electrónica, teléfono y/o fax.
¿Cuándo es obligatorio el registro de actividades de tratamiento de datos?
Cumplir el RGPD para empresas es ineludible cuando registres la actividad del tratamiento de los datos. Es de obligado cumplimiento tanto para el responsable del fichero de datos como para el encargado del tratamiento, pero se deben dar alguno de los requisitos siguientes:
- La empresa o la organización tenga más de 250 empleados.
- La empresa, organización tenga menos de 250 empleados o seas autónomo y debas realizar tratamientos porque:
- Puedan entrañar riesgo para los derechos y libertades fundamentales de los interesados.
- El tratamiento de datos no sea ocasional.
- Incluyas categorías especiales de datos personales como:
- Origen étnico o racial
- Convicciones religiosas o filosóficas
- Afiliación sindical, políticas o sus opiniones al respecto.
- Tratamiento de datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona.
- Datos relativos a la salud, a la vida sexual u orientaciones sexuales de una persona.
- Realización de tratamiento de datos personales relativos a condenas e infracciones.
¿Cuándo no se aplica el RGPD?
No tendrás que cumplir con el RGPD para empresas cuando:
- El interesado fallezca.
- El interesado sea una persona jurídica.
- El tratamiento de datos es realizado por una persona que no actúa con fines comerciales, empresariales o profesionales.
¿Qué debo hacer para cumplir con la ley de Protección de Datos?
Debes cumplir con el RGPD y la Ley Orgánica de Protección de Datos, si eres un autónomo o empresario y recoges datos personales de clientes, proveedores y/o empleados.
Estas leyes están actualmente en vigor y sirven para garantizar la protección de los datos personales de las personas físicas y su incumplimiento puede acarrear elevadas sanciones económicas.
Antes de pasar a los pasos que debes seguir para cumplir con dichas normativas, un primer consejo es que si todavía no te has adaptado lo primero que deberás hacer es una auditoría de protección de datos.
Pasos para cumplir con el RGPD y la Ley 3/2018 de Protección de Datos Personales
Comprueba qué ficheros de tu sistema contienen datos personales
Muchas empresas desconocen el tipo de información que almacenan o cómo lo hacen. En cuanto almacenas datos de clientes, usuarios web, empleados y proveedores, debes cumplir con el RGPD y la LOPD.
Por tanto, el primer paso es verificar qué datos personales estás almacenando en tus ficheros.
Establece un buen sistema de seguridad
Debes tomar ciertas medidas de seguridad cuando recojas información muy sensible. La protección de datos para empresas es algo que no debe tomarse a la ligera. De hecho, a mayor información, mayores medidas de seguridad deberás tomar.
- Nivel básico: nombre, apellidos, email, domicilio, teléfono y DNI.
- Nivel medio: préstamos, créditos, solvencia crediticia, infracciones administrativas, aficiones y hobbies.
- Nivel alto: orientación sexual, religión, raza, ideología o religión.
Evaluación del Impacto en la Protección de Datos (EIPD)
Cuando recoges datos con un nivel de seguridad alto, estás poniendo en riesgo los derechos y libertades fundamentales de las personas.
El RGPD obliga a evaluar las posibles situaciones de riesgo y las consecuencias que podrían darse si sucede un fallo de seguridad.
Desarrolla un Documento de Seguridad
Explica cómo procesas los datos personales que recoges y almacenas, incluyendo los nombres de los empleados que pueden acceder a ellos y el sistema o sistemas de seguridad que utiliza para almacenar los archivos.
Tienes un Modelo de Seguridad diseñado por la Agencia Española de Protección de Datos que te servirá de guía.
Informa a los interesados
Las personas físicas o jurídicas de las que recabas datos deben dar su consentimiento expreso para que puedas almacenarlos.
El RGPD para empresas y la LOPD no dejan lugar a dudas. Además debes informar de forma clara para qué recoges sus datos, y cómo pueden ejercer los derechos de acceso, rectificación, supresión, oposición.
Cuánto tiempo debes conservar los datos recopilados
Solo el tiempo necesario para el fin para el que los recopilaste. Por ejemplo, si has recopilado datos para contratar a un nuevo empleado, en cuanto lo contrates deberás cancelar los datos de los demás aspirantes al puesto.
Realiza auditorías anuales
Cuando estás recopilando datos de nivel medio o alto, la ley te obliga a realizar auditorías, al menos, cada dos años o cuando cambias el sistema de información que afectan a la seguridad que habías implementado.
Recoge la información que necesitas con seguridad
Sigue estos 7 pasos y olvídate de tener problemas legales. Es fundamental que no pases por alto ninguno porque te juegas una buena sanción.
Tanto el RGPD para empresas como la LOPD lo dejan muy muy claro, los datos personales están dentro del marco de los derechos fundamentales. Y, como bien sabrás o deberías saber, son derechos que tienen la máxima protección legal.
Por tanto, realizar cualquier acción que suponga una restricción de un solo derecho fundamental es anticonstitucional, va contra las leyes europeas y el castigo es máximo.
Tómate en serio la forma en que recoges y tratas tus datos, pones la vida de tu empresa o negocio en juego si no lo haces.
