El próximo 25 de mayo entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD), una normativa europea que obligará a las empresas a adaptarse en materia de recopilación, uso, divulgación, retención y protección de datos personales. La propia Agencia Española Protección de Datos (AEPD) será la encargada de velar por su cumplimiento.
Esta medida es fruto de la transformación digital, que ha provocado una exposición excesiva de los datos personales, ante lo que la Unión Europea ha optado por ampliar la protección de los derechos individuales.
A escasos días de la entrada en vigor de la RGPD, aún son muchos los empresarios preocupados, ya que temen no poder cumplir con todas las directrices, especialmente en las pymes. Pese a sus temores, Mar España, directora de la Agencia Española de Protección de Datos (AEPD), ya dejó claro en marzo que no habría una moratoria para la entrada en vigor del reglamento.
Con la ayuda de varios expertos en la materia, tratamos de resolver algunas de las dudas más habituales que aún tienen las empresas.
¿Cómo tienen que proteger los datos de los usuarios una empresa?
La nueva normativa exige que no se recopilen datos porque sí, sino que deben tratarse solo los datos personales mínimos y necesarios para el logro de los fines legítimos de la empresa. Por ello, es prioritario que la empresa analice las medidas -tanto técnicas como organizativas- de las que dispone para evitar poner en riesgo los derechos de las personas titulares de los datos.
«Es necesario saber cómo archivar los datos, tanto de manera digital como física, y hacerlo de manera segura», explica Héctor Barak, director general de Fellowes Ibérica, empresa especializada en destrucción de papel. «Debemos ser muy conscientes de los datos de carácter personal que tratamos y almacenamos, saber en qué caso se trata de datos privados y sensibles, así como ser capaces de establecer cuándo ya no es necesario conservarlos, y en ese caso destruirlos», indica.
¿Qué departamentos se verán afectados?
La nueva normativa involucra a toda la empresa, no solo a los departamentos tecnológicos. Afecta desde cómo y dónde se registra a las personas que pasan por recepción, hasta a los papeles que se dejan encima de la mesa, advierten desde la compañía de tecnología Unisys. Pero, a rasgos generales, las áreas más afectadas serán los relacionados con la gestión directa de datos personales: «ventas, marketing, recursos humanos, atención al cliente, legal y administración, dependiendo de la estructura y el tamaño de la empresa», apunta María Abad, directora de marketing de Teamleader, empresa de software para pymes.
«En esta detección de departamentos afectados, el primero que debería aparecer es el de la Dirección de la compañía», añade Luis Pardo, consejero delegado de Sage Iberia, compañía tecnológica.
¿Cómo debe prepararse la empresa?
Es necesario facilitar a los clientes una petición de consentimiento que incluya cláusulas de información que tendrán que firmar y que las empresas deberán conservar, según indica Daniel Santos, especialista en protección de datos de Santos Abogados Asociados. «Las empresas tendrán que conservar el contrato porque se lo pedirá la AEPD», apunta Santos.
Otros aspectos clave a tener en cuenta, recuerda Abad, son: actualizar los documentos legales y realizar auditorías internas, mantener una reunión informativa con los clientes, informar y formar al equipo, eliminar datos de los que no se tiene autorización, establecer un nuevo plan de gestión de crisis, mostrar de forma explícita que se cumple el nuevo reglamento, gestionar los canales de acceso de datos adecuadamente, proteger los datos de los menores de 16 años…
¿Es necesario contar con un Delegado de Protección de Datos?
Esta persona, que puede ser interna o externa, tiene la misión de coordinar y divulgar la política de protección de datos de la empresa, y además hará de enlace con la AEPD. Sin embargo, esta figura solo es obligatoria en los organismos o empresas públicas, si se trabaja con observación sistemática de personas a gran escala (seguimiento por internet, localización de usuarios a través de aplicaciones, elaboración de perfiles, programas de fidelización…) o si se manejan datos de personas a gran escala sobre temas sensibles (salud, ideología, orientación sexual…), según recuerdan desde Life Abogados.
Y en las empresas en las que esta figura no sea obligatoria su presencia puede ayudar a cumplir la norma, asegura Barak.
¿Cómo deben las empresas preparar a los trabajadores?
Los trabajadores deben ser conscientes de en qué consiste la nueva normativa y cómo deben actuar para hacerlo bajo las nuevas normas, especialmente los trabajadores que en su día a día traten con documentos confidenciales. «Es muy importante concienciar a los empleados de que no solo ponen en riesgo a la empresa para la que trabajan, que podría enfrentarse a elevadas multas, sino también la información personal de muchos usuarios», recomienda Barak.
«Hay que elaborar y llevar a cabo un plan de formación sobre el RGPD y un plan de concienciación para todos los empleados, para evitar un uso indebido de los datos personales de terceros por desconocimiento o por voluntad expresa», indica María Abad, en la misma línea.
«Es fundamental invertir en formación y concienciación», insiste Luis Pardo. «No olvidemos que el principal agujero de seguridad detectado en el uso de los datos radica en los procesos internos de la empresa y no tanto en agentes externos», concluye.
¿Se puede acceder a la información almacenada en cualquier momento?
El usuario puede pedir que se le muestren, se corrijan o se eliminen sus datos en cualquier momento. Pero el RGPD no tiene efectos retroactivos, por lo que solo afectará a los datos futuros y no a los del pasado.
¿Qué pasa con los usuarios menores de edad?
El nuevo reglamento protege de forma más estricta a los menores de edad, apunta Jordi Vives, country manager del sello de calidad Trusted Shops España. «A partir de los 13 años, el usuario ya puede mostrar su conformidad con el tratamiento de los datos», explica el experto. «Las tiendas online dirigidas específicamente a menores de edad deben comportarse de forma más restrictiva en cuanto al marketing online y no deben almacenar datos de menores», recuerda Vives.
Fuente: https://www.eleconomista.es/