¿Está tu negocio adaptado al Reglamento General de Protección de Datos?

protección de datos

El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos (RGPD) pero no será hasta dentro de dos años cuando empresas y autónomos estén obligados a la aplicación completa de la normativa, que supondrá mayor protección y privacidad para los datos de los clientes y un esfuerzo añadido por parte de todas los negocios, sin importar su tamaño, de cara a la regularización de su información privada.

Teniendo en consideración el cambio progresivo que esta LOPD europea supone se proporcionará a todos los estados de la Unión Europea un periodo de dos años para adaptarse a los cambios del nuevo marco legislativo. Pero ¿están, hoy por hoy, los protocolos de pymes y autónomos preparados para cumplir con el recién estrenado RGPD?

El problema de la desinformación sobre el RGPD

Según un informe realizado por Dell , el 97% de las empresas no tienen planificada esa adaptación y una de cada diez empresas guardan aún datos sin atender a la legalidad.  Además, el 80% están completamente desinformadas sobre los detalles de la nueva LOPD. Es tal el desconocimiento, y por ende, el incumplimiento existente que, si hoy mismo se aplicase el Reglamento General de Protección de Datos, más del 40% de las empresas medianas que operan en la Unión Europea pagarían una multa de hasta el 4% de su facturación anual o 20.000.000 euros por infringirlo .

Nuevas prácticas en las empresas

El  reglamento YA en vigor tiene como fin aportar un único marco europeo para la protección de datos, mejorar el proceso y reducir los trámites burocráticos para contribuir a la libertad de movimiento de las empresas que adquirirán un mayor compromiso con la gestión y privacidad de los datos. ¿Qué prácticas deberán implementar pymes y autónomos para adaptarse al cumplimiento de la normativa?

Consentimiento inequívoco

El nuevo reglamento de Protección de Datos desestima el consentimiento tácito que realiza el cliente para el uso de sus datos y obligan a la revisión de las cláusulas de las empresas para que el consentimiento sea libre, específico, informada e inequívoco como reza la normativa.

Hasta el 25 de mayo de 2018, aquellos consentimientos que han sido obtenidos antes de la aplicación total de la nueva normativa el 25 de mayo de mayo de 2018 tendrán validez en el caso de que fueran adquiridos conforme a los criterios del reglamento. Después de esa fecha, todos los consentimientos deben ser claramente expresos y revocables no permitiéndose ningún otro tipo de consentimiento independientemente de su fecha de obtención.

Cláusulas y políticas informativas

¿Qué ocurre con las cuestiones adicionales que el reglamento incluye y que no aparecen expresas actualmente en la cláusulas informativas de las empresas? Las novedades procedentes de la normativa deben ser transmitidas al cliente mediante las herramientas habituales de comunicación como páginas webs, boletines informativos o correo electrónico pero además . Además, conviene una revisión y adaptación formal de las políticas informativas de las empresas.

La figura del Delegado de Protección de Datos

Si tu empresa aún no cuenta con un delegado de Protección de Datos (DPO) estás perdiendo un preciado tiempo. El RGPD exige que las empresas cuenten con un profesional que haga las veces de auditor interno y, en su papel, identifique los riesgos en la protección de determinados datos y aporte soluciones a la compañía. Esta figura tiene la obligación de transmitir a las Autoridades de Control los fallos o las brechas en la seguridad (Data Breach Notifications) en menos de 72 horas y de peticionar la autorización previa para implantar

Evaluación del Impacto en la Protección de Datos (PIA)

Una de las novedades que conlleva el Reglamento es la obligatoriedad de poner en marcha una Evaluación de Impacto en la Protección de Datos Personales o Privacy Impact Assessments (PIA) en las empresas. Esta herramienta es muy útil para avanzar en la privacidad de todo el ciclo de vida del dato introducido al someterlo a análisis para comprobar si pone en riesgo el derecho fundamental. Tras el resultado es necesario implementar medidas las medidas de seguridad adecuadas.

Códigos de conducta

Existen una serie de obligaciones que los responsables de tratamientos de privacidad y protección de datos pueden cumplir mediante los Códigos de Conducta que la autoridad de control competente, Estados Miembros, Autoridad de Control, Consejo Europeo de Protección de Datos  deben promover, supervisar o modificar.  Se trata por tanto de una guía práctica para determinados sectores.

Certificados y Sellos

Es importante darle visibilidad a tu buen hacer en la protección de datos. Por ello se establecen mecanismos de certificación que confirman el cumplimiento de la normativa RGPD y la calidad de la protección de datos. Estos sellos y certificaciones son por tanto elementos que contribuyen a la distinción en tu reputación corporativa y en consecuencia a la competitividad.

Marina Rivero
Esta entrada fue publicada en LOPD y etiquetada , . Guarda el enlace permanente.

10 Comentarios en ¿Está tu negocio adaptado al Reglamento General de Protección de Datos?

  1. Hola Marina:

    Muchas gracias, tu artículo me ha despejado algunas de las muchas dudas que tengo a la hora de implementar estas leyes en las páginas web que diseño.

    Trabajo con empresas y profesionales en el diseño y posicionamiento de sus páginas, ellos me proporcionan la adaptación a la LOPD pero veo que hay muchas diferencias sustanciales entre ellas a la hora de implementar las páginas que informan y los textos que las especifican.

    Respecto a los mecanismos de certificación que confirman el cumplimiento de la normativa RGPD por lo que he visto todavía no están en funcionamiento, parece ser que hay una Entidad Nacional de Acreditación (ENAC), contando con la participación de la AEPD las que se encargarán de la certificación. Ya veremos.

    Muchas gracias: Huberto Cánovas.

  2. Alfredo dijo:

    Gracias por el artículo. ¿Cómo aplica la nueva ley a los autónomos que trabajamos solos? En mi caso, soy coach y formador. Me contratan particulares y empresas. ¡Gracias!

    • Respuesta a Alfredo:

      Hola Alfredo:

      Se entiende que un autónomo que trabaja solo tendrá menos volumen de datos que tratar pero también habrá que valorarlos en función de su actividad. Aún no está excesivamente concretado las medidas que se van a tomar pero para orientarte mejor puedes ponerte en contacto con una empresa dedicada al tema. Grupo IWI, por ejemplo, que es uno de nuestros proveedores.

      Un saludo.

  3. montse dijo:

    Muchas gracias Marina. Podrias facilitarnos empresas que se dediquen a adaptar las micropymes a la LOPD?.

  4. Victoria dijo:

    Marina, muy interésate el artículo, en el caso de los Blog que no tienen ingresos al estar los datos de los seguidores en las plataformas de bloggin (WordPress, Blogger,…), ¿afectaría?

    Gracias. Un saludo

    • Respuesta a Victoria:

      Hola Victoria:

      Muchas gracias. Aún se desconoce de qué forma se va a materializar estas adaptaciones a la nueva normativa pero independientemente de ello, la relación de un blog del tipo que sea con la protección de datos es clara. Debe informar al usuario de la recogida de datoss y solicitar consentimiento para su uso. Es importante el concepto de Política de Privacidad.

      Un saludo.

    • Respuesta a Victoria:
      Mayte dijo:

      Hola Victoria, aunque tu blog no esté monetizado, en el momento que obtengas suscriptores, te dejen comentarios en el blog o tengas un formulario de contacto ya tienes que cumplir la ley de protección de datos, ya que está teniendo acceso al nombre y al email los usuarios.
      Un saludo

  5. MARIA DEL PRADO dijo:

    Hola Marina, nos gustaría realizar un taller con esta materia, como podemos articularlo?