La saturación de información sobre el Reglamento General de Protección de Datos (RGPD) es, a día de hoy, indiscutible. Sin embargo, aunque la gran mayoría de organizaciones ha intentado ponerse al día con esta nueva regulación, muchas de ellas siguen sin saber cómo les incumbe directamente.
La empresa de seguridad de la información IT Governance, revela los pasos más recomendables para iniciar el cumplimiento de la nueva normativa europea de protección de datos. En primer lugar, hay que estar bien informado. El nuevo Reglamento no es muy concreto en algunos aspectos clave, por eso, contar con la asesoría adecuada es imprescindible.
Prueba de ello es la gran cantidad de e-mails que hemos recibido en las últimas semanas, donde empresas de todo tipo nos informaban de que disponían de nuestros datos personales. En algunos casos, este e-mail era necesario, pero en la mayoría de casos no hacía falta porque el consentimiento ya era válido cuando lo recogieron por primera vez.
Este e-mail era necesario, pero en la mayoría de casos no hacía falta porque el consentimiento ya era válido cuando lo recogieron por primera vez
El problema vino cuando compañías que no tenían que enviar ese correo, lo enviaron. Entonces sí que debían conseguir un nuevo consentimiento para seguir mandando sus comunicaciones. Fruto de este malentendido, un porcentaje de empresas perdió gran parte de sus contactos al no recibir respuesta y tener que proceder a borrar esos contactos de su base de datos.
El consentimiento es una de las razones legítimas que permite a las organizaciones contactar con sus clientes, pero no es la única. El RGPD señala que, si el consentimiento se ajustaba inicialmente a los requisitos del Reglamento, no se tiene que volver a obtener la autorización del interesado. Otorgar el consentimiento expreso implica tener que realizar una acción concreta como dar conscientemente tu información personal al, por ejemplo, descargar un informe o inscribirse en una newsletter.
El RGPD señala que, si el consentimiento se ajustaba inicialmente a los requisitos del Reglamento, no se tiene que volver a obtener la autorización del interesado
Las otras cinco bases legales por las que una empresa puede tratar datos personales son: intereses vitales, intereses legítimos, obligaciones contractuales, requisitos legales e interés público.
Índice de temas
RGPD desde el principio del proyecto
Para comenzar, todas las compañías deben incorporar o actualizar su política de privacidad en su página web y en la firma de sus correos corporativos. La política de privacidad también se conoce como aviso de privacidad y, en ella, debe aparecer el modo en que la compañía controla la protección de datos y cómo los sujetos de datos pueden ejercer sus derechos. En ocasiones, la empresa actuará, además de como responsable, como encargada de la información personal.
Una política de privacidad no es lo mismo que una política de protección de datos. Esta última es un documento interno que especifica los objetivos de protección de datos de la organización, las responsabilidades y cómo actuar ante violaciones de seguridad de información personal.
Los puntos imprescindibles de un aviso de privacidad son: introducción, qué es la compañía, empresas incluidas en su alcance empresarial, organizaciones y sitios web incluidos en el alcance, recopilación de datos personales y fundamento jurídico para su tratamiento, almacenamiento de información personal, medidas de seguridad, derechos como titular de datos, cómo contactar, quejas y reclamaciones.
Además, si se tiene pensado desarrollar nuevos productos o páginas web, conviene pensar en los elementos de privacidad desde su fase inicial y cumplir así con la protección de datos desde el diseño y por defecto incorporada en el RGPD. En cuanto a la programación, cabe destacar que las casillas premarcadas ya no están permitidas.
Nuevas responsabilidades empresariales
A los ya tradicionales derechos ARCO de los usuarios (Acceso, Rectificación, Cancelación y Oposición) se unen el derecho de acceso, al olvido o a la portabilidad. Y, detrás de estos derechos, se encuentran las responsabilidades por parte de las organizaciones.
En general, el Reglamento insiste en que las empresas deben ser claras y transparentes a la hora de recoger y tratar información personal, e informar a los usuarios sobre el uso de sus datos, por ejemplo, si se facilitan a terceros. El lenguaje empleado tiene que ser sencillo y comprensible.
Por otra parte, las compañías tienen que estar preparadas por si los interesados ejercen su derecho al acceso, olvido o portabilidad y contar con las medidas adecuadas para proceder. Esto sucederá si, por ejemplo, el interesado solicita la copia, modificación o eliminación de su información personal.
Las compañías tienen que estar preparadas por si los interesados ejercen su derecho al acceso, olvido o portabilidad
Para finalizar, subrayar que con la llegada del RGPD, las empresas ya no tienen la obligación de registrar los ficheros ante la Agencia Española de Protección de Datos (AEDP). Sin embargo, el artículo 30 del Reglamento exige a las empresas con más de 250 empleados disponer de un registro de actividades interno donde tener constancia de los datos existentes en la organización y de cómo se procesan.
Este registro de actividades de tratamiento no será una obligación para organizaciones con menos de 250 empleados, pero sí una recomendación.
Sobre IT Governance LTD
IT Governance es una compañía enfocada en seguridad informática y privacidad de la información con sede en Reino Unido, pero que presta sus servicios en Europa, América el Norte, Asia-Pacífico y Sudáfrica.
Cuenta con un amplio abanico de cursos, herramientas, publicaciones y consultores expertos en el Reglamento General de Protección de Datos.
Asimismo, dispone de un blog actualizado con todo lo relacionado con las principales normas de gestión de los sistemas tecnológicos de información.
