Logotipo de destrucción de documentos
Consulta On-line
CONTACTE CON NOSOTROS

Cómo adaptarse al nuevo Reglamento General de Protección de Datos (RGPD)

Las empresas ante la nueva forma de tratamiento de datos personales

Ya ha entrado en vigor el RGPD y todas las empresas se han tenido que adaptar a las nuevas exigencias en materia de tratamiento de datos para cumplir la nueva normativa… Pero esto ha sido así o ¿falta todavía algo?

Adaptación al nuevo Reglamento General de Protección de Datos

Desde el 25 de mayo, fecha en que entró en vigor el nuevo Reglamento General de Protección de Datos, todos hemos recibido multitud de correos en los que se nos advierte sobre nuestros datos personales y si damos el consentimiento para su tratamiento por parte de muchas empresas, en especial si son tecnológicas.

Pero la pregunta es si las empresas en general, no solamente estas últimas, se han adaptado bien a la legislación que actualmente rige que es una normativa europea que en España tiene el complemento de la Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre.

Lo cierto es que estudios realizados por Sage poco antes de la entrada en vigor del Reglamento, señalaban que en especial las pequeñas y medianas empresas no estaban muy al corriente de este.

Concretamente un 52 % no lo conocían, una de cada tres no conseguiría implantar los sistemas de control necesarios para cumplir las normas y un 22 % no tenía recursos para adaptarse a él.

El panorama no es muy halagüeño porque unos meses después, aunque se haya avanzado algo, no se ha podido recorrer todo el camino que durante dos años no se hizo; no hay que olvidar que el Reglamento General de Protección de Datos se aprobó en 2016 y ya se conocía desde entonces.

Nuevas perspectivas con el nuevo RGPD

Por lo tanto para conseguir una total adaptabilidad por parte de las empresas a la nueva normativa sobre tratamiento de datos, hay que enfocar el asunto desde otra perspectiva distinta a como se venía haciendo hasta ahora.

Hay que ofrecer garantías al ciudadano sobre cómo se van a utilizar sus datos personales por parte de las empresas, desde el principio de responsabilidad proactiva del empresario.

Eso quiere decir que hay que seguir unos criterios distintos a cuando solo estaba en vigor la LOPD, que vamos a ver a continuación:

• Crear un registro de actividades para el tratamiento de datos.
• Deja de existir el consentimiento tácito y las casillas premarcadas en las páginas web.
• Entran en vigor derechos como el de limitación, portabilidad y olvido.
• Aparece la figura del Delegado de Protección de Datos (DPD/DPO) en la empresa que hay que comunicar a la Autoridad de Control, quien debe ser una persona experimentada en protección de datos personales y seguridad de la información.
• Otro concepto que se incluye en las empresas es el de “Brecha de seguridad” para el cual se deberá establecer un protocolo por el cual será necesario comunicar inmediatamente a la AEPD en 72 horas, si ha habido una violación de la protección de datos e incluso a los propios afectados, según la gravedad.
• Habrá que realizar análisis de riesgos de los datos e incluso evaluaciones de impacto sobre el tratamiento, según la importancia.
• Es preciso ser consciente de todo lo anterior porque las infracciones salen muy caras con este RGPD, llegando a multas de 20 millones de euros o al 4 % de la facturación del año anterior.

Las empresas y su documentación

La documentación que obraba en poder de las empresas con respecto al tratamiento de datos de carácter personal no será válida, porque está basada solamente en la Ley Orgánica de Protección de Datos.
El nuevo RGPD es de aplicación en toda la UE y por tanto hay que acatarlo en todos sus puntos, lo que quiere decir que los documentos firmados que antes eran válidos, ahora hay que volver a redactarlos.
• Se deben establecer nuevos contratos ampliados con los encargados de tratamiento sobre el acceso a datos.
La cláusula de confidencialidad con los trabajadores de la empresa deberá ser revisada para adaptarse a la nueva normativa y no caer en problemas jurídicos sobre información a terceros.
•Todos los consentimientos que se hayan obtenido en el pasado por parte de las empresas habrán de ser revisados para actualizarlos y regularizarlos de acuerdo con las personas físicas si así lo acreditan claramente.
• Será necesario poseer un documento de seguridad para evitar cualquier problema de carácter legal.

Medidas que se deben tomar por parte de las empresas

Con todo lo hecho, es necesario tomar una serie de medidas para que la adaptación al RGPD sea completa:
• Lo mejor es desde el principio llevar a cabo un análisis de riesgos sobre los datos y su tratamiento.
• Tener el correspondiente registro de actividades como exige la nueva norma.
• Muy importante: Saber si es preciso tener en la organización un delegado de protección de datos o no.
Este último punto se especifica en el art. 37 del RGPD cuando expone que deberán contar con esta figura todas aquellas empresas que gestionen datos a gran escala y las que tengan datos sobre el origen étnico, racial, opiniones políticas, religión, tratamiento de datos genéticos o biométricos, datos sobre salud, sexuales o sobre orientación sexual.

No es que quede muy claro lo que quiere decir “datos a gran escala”, pero desde luego parece que atañe más a grandes compañías que a pequeñas y medianas empresas.

En cualquier caso el DPD puede ser interno o externo, lo que quiere decir que el servicio puede ser outsourcing.

Dentro de lo que es la responsabilidad en cuanto a la recopilación, uso, divulgación, retención y protección de datos personales también cabe incluir a los autónomos quienes no están a salvo de las sanciones por el incumplimiento de las leyes en este sentido.

Cabe decir que existe un proyecto de Le Orgánica de Protección de Datos en el parlamento español que está tramitándose desde octubre de 2017, pero aún sin aprobar.

Se supone que irá orientada en el sentido del RGPD y solventará las dudas que pueda haber dejado este, con lo que las pymes y en general todos, podremos estar más seguros a la hora de tratar datos de carácter personal.


INFORMACIÓN Y PRESUPUESTO ON-LINE