Internet va a cambiar a partir del 25 de mayo con la entrada en vigor del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), una medida que se va a implantar en toda Europa. A partir de ahora, la protección de datos va a ser un derecho fundamental y no solo del cliente. En este sentido, la intención principal es garantizar el código de privacidad y preservar la posibilidad de libre circulación de datos personales, con lo que el mayor beneficiado va a ser el usuario.
La protección de datos va a ser un derecho fundamental y no solo del cliente
Así, todas las empresas en el Viejo Continente han tenido que actualizarse para cumplir con los requisitos del GDPR. De hecho, si no lo hacen las sanciones son elevadas, alcanzando hasta un 4% de los ingresos de la empresa. Aunque parezca extraño, este cambio debe interpretarse como un facilitador porque proporciona reglas bajo las cuales se posibilita el procesamiento de datos e información personal.
En este punto, hay que ser consciente que prepararse para el GDPR es todo un reto por dos razones: primero, porque es una normativa nueva y, por lo tanto, no hay experiencia de auditorías anteriores a las que la organización pueda recurrir; segundo, porque algunos aspectos está en pañales. Sin embargo, este contexto no justifica que las compañías no se hayan puesto al día en el asunto. Si no se ha hecho, lo mejor es conocer qué hay que hacer…
Pasos a seguir
El primer paso es saber de dónde proceden todos los datos que maneja cada empresa, ya sean personales (como nombres o direcciones) o algo más específicos (escolares, médicos, etc). Además, es imprescindible saber qué se necesita para que estos se ajusten al Reglamento según los nuevos documentos. Si se comparte información obsoleta o errónea con otra empresa, hay que avisarla para poder corregir los errores.
Respecto a los clientes, es necesario revisar el proceso de consentimiento para los datos personales del usuario. Hay que explicarles cómo se recopila la info, por qué se procesan los datos o el tiempo en que se pretende almacenarlos. De hecho, según el derecho al olvido –principio clave de la medida–, no se puede guardar información personal por más tiempo del necesario y debe ser borrada o eliminada mediante un sistema si así lo solicita el usuario o una vez terminado el período de retención legal.
No hay que intentar engañar. La aprobación no se da por casillas premarcadas o inactividad del cliente. Debe ser libre, específica, informada e inequívoca. En el caso de que un usuario quiera profundizar, se ha de estar preparado para solicitudes de información, ya que el reglamento permite reclamar copias de los datos que poseen las firmas.
Por último, en el marco de la ley, se requiere mostrar evidencias del cumplimiento de las normas. ¿Cómo se hace esto? El Reglamento obliga a la creación de una figura inédita en nuestro país: El Delegado de Protección de Datos. Se trata de un profesional cualificado, con experiencia y conocimientos profundos en materia de protección de datos cuyas funciones se resumen en asesorar y supervisar a la firma en esta materia. Un puesto con mucha demanda, desde luego.
Al mismo tiempo, no se debe dejar de identificar la base legal para la actividad de procesamiento, documentar los procedimientos, actualizar el aviso de privacidad y modificar los términos y condiciones.
