Las obligaciones de las empresas en materia de protección de datos

Verónica Ruiz
La protección de datos es un derecho fundamental que tienen las personas a decidir qué es lo que se hace con sus datos personales. En la actualidad, las empresas deben cumplir con las normativas relacionadas con este concepto si no quieren tener problemas con las organizaciones encargadas de velar por este derecho.

El 25 de mayo de 2018 entró en vigor la RGPD o Reglamento General de Protección de Datos. Este reglamento es de obligatorio cumplimiento para empresas, Administraciones Públicas, autónomos, ONGs…

Qué deben hacer las empresas con el RGPD Imagen: Rawpixel.com || Shutterstock

¿Por qué hay que cumplirla el RGPD?

Existen unos objetivos claros en el RGPD.

  • Proteger a los clientes.
  • Dar mayor credibilidad a las empresas que cumplen con esta ley.
  • Mejorar la seguridad de la información.
  • Evitar fugas o pérdidas de información.
  • Mejorar la gestión de la empresa.
  • Normalizar las relaciones con terceros.

Pero sin duda, la razón de peso para cumplir con la RGPD son las fuertes sanciones que trae consigo. Estas ascienden a entre 10.000 euros y 20.000 euros o entre el 2% y el 4% máximo del volumen total de la producción anual. La cuantía exacta dependerá de la gravedad de la infracción.

¿Cuáles son las novedades de la RGPD?

La nueva norma europea, además trae novedades como las siguientes:

  • Se amplía el derecho a conocer la finalidad y el tratamiento de los datos personales recabados por una empresa.
  • Para manejar dichos datos personales las empresas han de tener el consentimiento expreso del propio cliente. Las casillas debajo de los formularios no han de estar marcadas.
  • Los datos solo se utilizarán para los fines que se han comunicado en un principio. Otro tipo de uso será considerado ilícito.
  • El interesado podrá mover, copiar o transferir sus datos a otra empresa, aunque sea de nuestra competencia.
  • Se han de comunicar las brechas de seguridad en la protección de datos en menos de 72 horas.
  • En determinados casos, como por ejemplo si manejamos muchos datos de categorías especiales, se necesitará un Delegado de Protección de Datos (DPO).

¿Cuáles son las obligaciones básicas para empresas del RGPD?

Hasta ahora hemos planteado algunas de las novedades que conlleva el nuevo reglamento. Pero como cualquier ley conlleva una serie de obligaciones. A continuación enumeraremos aquellas que son más básicas.

  • Documentos legales. Para algunos negocios que no manejan datos sensibles pueden utilizar la herramienta FACILITA de la propia Agencia Española de Protección de Datos. Pero es recomendable acudir a un profesional que nos asesore a la hora de generar los documentos legales. De esta manera nos aseguraremos que no cometemos ningún tipo de infracción.
  • Si cuentas con una web deberá tener: Aviso legal, política de privacidad, política de cookies y una coletilla legal en la parte inferior de los emails y formularios.
  • Tendremos que guardar aquellos consentimientos dados de forma explícita.
  • Ya no hace falta inscribir los ficheros en la Agencia de Protección de datos, como pasaba con la LOPD.
  • Deberemos tener en cuenta los derechos ARCO (acceso, rectificación, cancelación y oposición) como hasta ahora, pero se han añadido el derecho a la portabilidad de los datos y el derecho al olvido.
  • En este sentido, deberemos revisar los procesos de respuesta a estos derechos que acabamos de mencionar.
  • Los datos se guardan durante un determinado tiempo que habrá que establecerse.
  • Tendremos que desarrollar el “registro de actividades” de actividades de tratamiento de datos.
  • Deberemos verificar los flujos de información.
  • Deberemos adecuar las medidas de seguridad. Asimismo, deberemos establecer un plan de contingencia y de brechas de seguridad.
  • Asimismo, habremos de efectuar un análisis de riesgos en los datos tratados. En los casos en que sea necesario habremos de efectuar evaluaciones de impacto sobre los tratamientos.
  • Si manejamos datos sensibles como por ejemplo, datos de salud, deberemos incorporar un Delegado de Protección de Datos o DPO. Una vez nombrado deberemos comunicarlo a la Autoridad de Control.

Sin duda, son muchos puntos a tener en cuenta. Para evitar las posibles sanciones, es recomendable acudir a un especialista en RGPD que compruebe que cumplimos correctamente con la legalidad.

¿Quiénes están obligado a cumplir con el RGPD?

  • ¿Te ha servido de ayuda?
  • No