¿Está tu empresa preparada para la nueva legislación de protección de datos?

Después de un periodo de adaptación que ha durado 2 años, el próximo día 25 de mayo acaba el plazo para adaptarse al Reglamento General de Protección de Datos (RGPD). La normativa europea endurece las sanciones por los incumplimientos de su articulado, y todo autónomo o pyme que esté en contacto con datos personales está obligado a regirse por su mandato. Si no quieres enfrentarte a sanciones que pueden llegar a los 20 millones de euros, atento a este artículo.

No solo las grandes organizaciones recaban datos a diario que hay que saber gestionar y tratar, también autónomos y pymes tratáis a diario con este tipo de información. Lo hacéis cuando abrís fichas con los datos de vuestros clientes, cuando pedís vía telefónica información personal o cuando solicitáis la identificación de un cliente en vuestra página web.

A partir del día 25 de mayo estáis obligados al cumplimiento del RGPD todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembro, obviamente, también las españolas.

CLAVES PARA EL CUMPLIMIENTO DEL NUEVO REGLAMENTO.

1. El consentimiento, aceptación afirmativa

Este principio cambia, ahora el consentimiento debe ser una manifestación que conlleve una aceptación inequívoca del usuario, ya sea mediante una declaración o a través de una acción afirmativa. El silencio, no se considera ya positivo, el consentimiento tácito desaparece. Asimismo, las casillas premarcadas bajo ningún concepto serán formas válidas de obtención de consentimiento.

2. Privacidad desde el diseño y por defecto

Desde el planteamiento inicial de un proyecto se debe pensar si éste tiene implicaciones en materia de protección de datos. Detección temprana de posibles tratamientos que impacten sobre los datos de carácter personal. Visión conjunta y acciones coordinadas entre áreas jurídicas, organizativas, de negocio e IT.

3. Análisis del Riesgo

Nace la obligación de realizar Evaluaciones de Impacto en materia de protección de datos. Desaparecerán los niveles de seguridad actualmente conocidos (básico, medio y alto). Ahora las medidas irán según el resultado de las evaluaciones, en función del riesgo a gestionar, que obligará a implantar mecanismos y procedimientos para proteger los datos.

4. Registro de las actividades de tratamiento

Con el RGPD no será necesario inscribir ficheros en el Registro General de Protección de Datos, por el contrario, las organizaciones deberán disponer de un registro interno de los distintos tratamientos de datos personales que llevan a cabo.

5. Notificación de una violación de la seguridad

Se deberán notificar a las autoridades de protección de datos, en el caso de España a la Agencia Española de Protección de Datos, las brechas de seguridad, en un plazo máximo de setena 72 horas.

6. Nuevos derechos para los interesados

Seguirá la obligación de atender los derechos que ya conocemos, el acceso, la rectificación, la cancelación, que ahora se denomina supresión, la oposición; a los que se añaden dos nuevos, el de la limitación del tratamiento y la portabilidad de los datos. El responsable del tratamiento está obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes desde la recepción de la misma.

7. Delegado de protección de datos

Será obligado disponer de un DPO cuando el tratamiento lo realice una autoridad u organismo público (excepto juzgados y tribunales); Cuando el tratamiento requiera la observación habitual y sistemática de datos a gran escala; Cuando el tratamiento tenga por objeto categorías especiales de datos personales. Fuera de los supuestos enumerados por las Ley, queda al arbitrio del responsable contar con un DPO.

8. Mayor nivel de información y transparencia

A la identidad del responsable, los fines de tratamiento y la información sobre el ejercicio de derechos, se sumarán los datos de contacto del delegado de protección de datos, los intereses legítimos del responsable o de un tercero; en su caso, la intención de transferir datos personales, el plazo durante el cual se conservarán los datos personales, la existencia de los nuevos derechos de los interesados, la existencia de decisiones automatizas, como por ejemplo, la elaboración de perfiles.

9. Ventanilla única

Permitirá a cualquier ciudadano presentar una reclamación ante la autoridad de protección de datos del lugar donde resida, independientemente del domicilio de la sede de la empresa denunciada.

10. Nuevo régimen sancionador

Incrementan sustancialmente las sanciones por incumplimiento. Multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en casos de incumplir de los principios básicos, incluidas las condiciones para el consentimiento y tratamiento de datos especiales, derechos de los interesados y garantías para la transferencia de datos.