EL RGPD PARA DUMMIES, ¿ESTÁS PREPARADO?

Hoy es el último día para adaptarse al RGPD. Desde su aprobación en mayo de 2016, se ha dispuesto de dos años para que las empresas se adaptarán. ¿Qué hemos hecho hasta ahora en este ámbito? ¡La mayor parte de nuestras empresas, NADA!

¿POR QUÉ NOS TENEMOS QUE ADAPTAR AL RGPD?

Según un estudio realizado por IDC y Microsoft a mediados de febrero de 2018 (ver https://bit.ly/2IMHvu2), el 96% de las empresas españolas ha oído hablar del GDPR (General Data Protection Regulation) o del RGPD (Reglamento General de Protección de Datos). Casi dos años después, sólo el 10% la cumplen, y lo que es más preocupante, sólo el 25% tiene planes sólidos para implementarla. Así pues, constatamos que el RGPD está en boca de casi todas las empresas, pero la verdad es que una parte muy importante de estas no ha realizado, ni tiene previsto realizar en los próximos días, semanas o meses ninguna acción al respecto.

La mayor parte de las pymes considera que es muy difícil que vayan a tener ninguna denuncia y que por lo tanto les vayan a sancionar por no cumplir con la nueva ley. ¿Seguro que está es una buena opción? Las sanciones cambian y aumentan considerablemente.

Las más bajas serán del 2% de la facturación (no de los beneficios) del ejercicio financiero anterior hasta un máximo de 10 millones de euros (se aplicará la de mayor cuantía) por:

• No aplicar las medias técnicas y organizativas
• No realizar la evaluación de impacto
• No disponer del registro de actividades de tratamiento
• No designar un DPO (Delegado de Protección de Datos)
• No notificar las brechas de seguridad

Hasta las más altas que pueden suponer un 4% de la facturación (no de los beneficios) del ejercicio financiero anterior hasta un máximo de 20 millones (se aplicará la de mayor cuantía) por:

• No cumplir los principios y los derechos del RGPD
• No legalizar las transferencias internacionales de datos
• No atender las resoluciones de las Autoridades de Control

Además, las sanciones pueden no ser exclusivamente administrativas, sino también penales. ¿De verdad que queremos correr ese riesgo?

Si queremos adaptarnos a la nueva ley, la verdad es que ya vamos tarde. Muy tarde.

El RGPD afecta a todas aquellas empresas y organizaciones (como, por ejemplo, las comunidades de propietarios) que realicen gestiones con los datos personales de clientes, proveedores o empleados.

¿QUÉ TENEMOS QUE HACER PARA ADAPTARNOS?

A modo enunciativo, pero no exhaustivo, enumeramos algunas de las principales acciones que deberíamos haber emprendido ya en nuestra empresa para iniciar la adaptación al RGPD:

• Consentimiento explícito:
  • ¿Hemos solicitado el consentimiento explícito y tácito a los propietarios de los datos que almacenamos para su tratamiento y gestión?
  • ¿Le hemos comunicado de forma clara y transparente para que vamos a almacenar sus datos?
  • ¿Somos conscientes de que el reglamento indica que las casillas pre-marcadas en formularios de consentimiento para el manejo de datos ya no son válidas?
  • Ahora, ya no es suficiente con informar al propietario de los datos, sino que es preciso que la persona exprese activamente su conformidad.
• Comunicar la recogida de datos:
  • ¿Hemos comunicado a la Agencia Española de Protección de Datos (AEPD), de que se está efectuando la recopilación de los datos y cuál es el objetivo de esta?
• Delegado de protección de datos (DPO):
  • ¿Hemos designado ya quién será el DPO de nuestra empresa?
  • En el caso de las empresas públicas o las empresas privadas que dispongan de datos denominados bajo la categoría especial (étnicos, ideológicos, genéticos, sanitarios), deberán contar de forma obligatoria con un delegado de datos o DPO, que será el responsable de asesorar a la empresa en materia de protección de datos, cumplimiento de la normativa y hacer de nexo con las autoridades de control.
• Ejercicio de los derechos de los propietarios de los datos:
  • ¿Hemos definido los mecanismos a través de los cuáles los propietarios de los datos de los cuáles almacenamos puede ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)?
  • ¿Se ha informado a los propietarios de los datos de la existencia de estos mecanismos?
• Validar las relaciones entre el responsable de los datos y el encargado del tratamiento:
  • ¿Hemos revisado los acuerdos y contratos con las empresas a las que subcontratamos (por ejemplo, aquellas que nos ofrecen servicios o almacenamiento de información en el cloud) y que tienen acceso a nuestros datos para que estas cumplan con las exigencias del RGPD?
  • Sólo se pueden contratar a empresas que ofrezcan garantías de cumplir la normativa de protección de datos.
  • El responsable de los datos se refiere a la persona, empresa o entidad responsable de los datos de carácter personal almacenados en un fichero.
  • El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento.
• Avisos de privacidad en las webs:
  • ¿Hemos actualizado los avisos de privacidad de nuestras webs para explicar a los usuarios la base legal para el tratamiento de los datos, así como los períodos de retención de estos?

Estos son sólo algunos de los puntos de un diagnóstico mucho más profundo que es necesario realizar para adaptarnos al RGPD. De todos modos, en la web de la Agencia Española de Protección de Datos podremos encontrar el documento denominado “Listado de Cumplimiento Normativo” (ver https://bit.ly/2rdRxh1). En este documento podremos encontrar un listado detallado y exhaustivo de todo aquello que deberemos contemplar para cumplir con el RGPD.

¿CÓMO TE PODEMOS AYUDAR?

Por otro lado, en ANYTIC, en colaboración con uno de los despachos de abogados especializados en TIC más importantes de nuestra amplia red de partners, te podemos ayudar a realizar el análisis de adecuación de tu empresa al RGPD y determinar las acciones que se deberían emprender, definiendo conjuntamente una hoja de ruta para implementar las medidas necesarias para su cumplimiento.