El 25 de mayo del año 2018 se puso en funcionamiento la RGPD, pero ¿qué es la RGPD y cómo afecta a los negocios? En este artículo intentaré aclarar todas las dudas que puedan surgir.
Como ya he comentado, a finales de mayo del 2018 la ley entró en vigor, sin embargo, toda la resolución ya estaba disponible desde el 27 de abril del año 2016. Hubo, pues, un periodo de transición de algo más de un año para que todo el mundo se adaptara, ya que desde la Unión Europea se tomó muy en serio este reglamento, con multas que pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual.
Pero, ¿por qué se creó este reglamento y qué pretende? La idea principal es proteger a los europeos, en el siguiente enlace puedes ver un interesante artículo sobre los nuevos derechos de los ciudadanos por el RGPD. Al mismo tiempo, está enfocado a controlar toda la información que se posee sobre los europeos por parte de las empresas, es decir: cualquier poseedor de datos dentro de la UE está obligado a cumplirlo, aunque dichos datos se procesen fuera de los países de la Unión Europea.
Esta nueva normativa obliga a las entidades que manipulen datos a cumplir ciertos requisitos, que paso a enumerarte a continuación. Como verás, son muchos los requisitos, y puede que acabes necesitando un software para el RGPD como el del enlace.
Hay que realizar una investigación profunda de los datos que tienes y que puedan atribuirse a personas físicas, documentando si es un dato personal, dónde se almacena, con qué propósito y, también, quién puede acceder a la información.
Es posible que estés pasando por alto algún detalle sobre cómo se procesa la información en tu empresa. Lo mejor es hacer un análisis de su procesamiento prestando especial atención a los detalles; sobre todo con los datos de menores de edad, ya que éstos tienen requisitos de seguridad mucho más específicos y duros.
Puede que quieras echar un vistado a la web de la AGPD, donde se documenta y explica exhaustivamente cómo deben ser estos procesos.
También es aconsejable revisar el proceso de obtención de datos, ya que ahora se exige un proceso claro, y fácilmente auditable. Por ejemplo el doble consentimiento en los formularios de acceso y el registro de cuándo y por qué medio se obtuvieron los datos.
Se han de proporcionar los mecanismos necesarios para que los interesados puedan solicitar que sus datos se eliminen completamente del sistema. Esto se conoce como derecho al olvido y ha de ser claro, accesible y fácilmente solicitable.
Si estás dado de alta en algunas listas de distribución por medio de emails habrás visto que, generalmente en la parte inferior, las empresas ofrecen un enlace para darse de baja del servicio.
Es importante fomentar la conciencia entre los empleados, todo el mundo ha de entender que es un tema muy importante aunque sea novedoso. Es un asunto a tener en cuenta porque las infracciones pueden suponer un grave problema para la empresa.
Para evitar que la responsabilidad se diluya, es importante crear una figura que se encargue íntegramente de que el plan de aplicación de la RGPD se cumpla. Puedes contratar a una persona específica para ello, delegarlo en un servicio externo y reubicar un recurso que tengas en la empresa.
De esta forma tendrás la seguridad de que siempre habrá alguien velando por que los procesos se lleven a cabo de la forma correcta.
Lo más importante de todo es dar un tratamiento correcto a los datos sensibles. Consulta e infórmate adecuadamente antes de hacer alguna acción que implique su manipulación y no hagas nada hasta tener la certeza absoluta de que está libre de riesgos.