Seguramente, durante las últimas semanas tu buzón de entrada se ha visto bombardeado de mensajes informando de cambios en la política de privacidad de distintas webs; que vamos a ser honestos, probablemente ni te suenan ni recuerdas haberte suscrito a ellas.
Esto se debe a que en 2016 entró en vigor el nuevo Reglamento General de Protección de Datos de la UE (también conocido como GDPR por sus siglas en inglés) y las empresas que todavía no se han adaptado están entrando en auténtico pánico porque a partir hoy, 25 de mayo, será obligatorio cumplirlo. De hecho, toda aquella empresa que no se haya adaptado corre el riesgo de verse multada y sinceramente, las sanciones dan bastante miedo.
Estas multas dependen de la gravedad, la duración y el tipo de infracción; y se han establecido dos niveles. Según el nivel se impondrá la multa, que podrá llegar a los 10 millones de euros o un 2% de la facturación anual en el caso del primer nivel y a los 20 millones o el 4% de la facturación en el segundo.
Se trata de una nueva ley que afecta tanto a empresas e instituciones de todos los tamaños y niveles como a los usuarios de las mismas. Da lo mismo si eres Google o la floristería de la esquina, no te libras de tener que cumplir con la nueva normativa siempre que estés tratando o recopilando de alguna manera datos de tus clientes o usuarios.
Por un lado, las empresas deben implementar un sistema más transparente y garantizar el correcto uso de los datos personales de sus clientes y por otro lado, a éstos se les otorgan nuevos derechos que pueden ejercer sin ningún tipo de impedimento.
Con las prisas por no perder el contacto con el cliente (y sus datos), la mayoría de las empresas pierden de vista otros aspectos del nuevo reglamento. Dentro de la empresa también se recogen datos de los empleados, ¿verdad?... Pues el nuevo reglamento también afecta a esa información.
Ahora los empleados tienen derecho a saber qué datos tiene la empresa sobre ellos; la empresa debe implementar sistemas para mejorar la gestión de esos datos y además, en caso que el empleado requiera acceso a esos datos, la empresa debe demostrar que esa solicitud es atendida.
Pero no sólo debes fijarte en los datos de tus empleados. El acceso de cada empleado a su ordenador deberá ser con usuario y contraseña, se terminaron las sesiones abiertas. Este es sólo un pequeño ejemplo para que veas que el nuevo GDPR va mucho más allá de los datos de tus clientes. Hay un montón de procesos que deben ponerse en marcha además de los digitales.
Aunque tu empresa se ajuste a la actual ley de protección de datos, sentimos comunicarte que no estás a salvo.
Hace casi 25 años que no se actualizan las normas de uso de protección de datos y obviamente, en los últimos años el panorama ha cambiado radicalmente. Por tanto, vamos a repasar algunos de los puntos (tanto a nivel online como offline) que puedes no estar cumpliendo y que a partir de ahora son totalmente OBLIGATORIOS:
- Consentimiento “explícito, claro y afirmativo” de que la persona cede el tratamiento de sus datos personales.
- Las cláusulas deben estar redactadas en un lenguaje comprensible para el usuario. Sin complicaciones ni entuertos. Es decir, las cosas claras y el chocolate, espeso…
- Derecho al olvido o lo que es lo mismo, derecho a la cancelación o eliminación total o parcial de los datos personales.
- Derecho a la portabilidad, lo que implica que los datos personales del usuario pueden transmitirse de una empresa a otra.
- Es obligatorio comunicar los fines determinados de la recogida de datos. Es decir, si recoges datos con el fin de completar el proceso de compra (como el mail por ejemplo), luego no puedes usarlo para enviar tu newsletter. Tienes que pedir permiso de manera explícita.
Debido a la complejidad del tema y de la normativa, desde Refineria te recomendamos pedir asesoramiento legal porque no es nada sencillo adaptarse a todos los cambios que se establecen. Para ponerte en situación y sin ánimo de asustarte, te contamos algunos de los procesos que se tienen que llevar a cabo:
- Identificar qué tipos de datos usamos y que se consideran como tales según la GDRP
- Investigar y determinar donde almacenamos todos los datos recopilados y que tipo de medidas de seguridad se toman para mantenerlos a salvo.
- Determinar todos aquellos procesos que se llevan a cabo dentro de nuestra empresa y que crean, modifican y/o almacenan datos provenientes de clientes, empleados y/o proveedores.
- Incorporar un delegado de Protección de Datos, ya sea propio de la empresa o un consultor externo.
Además, como empresa debes tomar medidas que garanticen procesos adecuados a la hora proteger los datos. En esta caso debemos incluir aspectos clave como pueden ser:
- Garantizar confidencialidad y disponibilidad de todos aquellos procesos que uses para procesar los datos.
- Comprobar y establecer pruebas de seguridad de manera regular
- Establecer un sistema que permita la restauración y recuperación de los datos en caso de ataque o avería tecnológica.
- Establecer un nivel de cifrado o encriptación de datos
Y podríamos seguir con la lista durante un rato largo pero no queremos que te entren ganas de llorar.
En fin, como puedes ver, no es algo que pueda solucionarse en una tarde. Es un proceso largo y técnico que puede llegar a traernos muchos dolores de cabeza y noches en vela.
El que no se haya adaptado al GDPR queda expuesto. Esta vez se trata de una normativa europea, así que los problemas pueden venir de más allá de nuestras fronteras y ya no se arreglan con multas simbólicas, esta vez va en serio.
Si has hecho los deberes puedes estar tranquilo, si no es el caso no tienes tiempo que perder y te aconsejamos que te dejes asesorar por un abogado especialista.
Atrás
Volver al listado
