Teamleader Blog Article

Lista de control del RGPD: 10 medidas que tu empresa debe tomar

Lista de control del RGPD: 10 medidas que tu empresa debe tomar

El 28 de mayo de 2018: solo quedan un par de meses para que entre en vigor el nuevo marco del RGPD europeo. ¿Qué cambiará para ti como pyme y cómo puedes asegurarte el total cumplimiento de todo lo que establece?

Esta rápida lista de control puede ayudarte.

Aviso legal: es importante enfatizar que, a pesar de poner en práctica esta lista de acciones, Teamleader no garantiza que una empresa esté cumpliendo la ley de privacidad al 100 %. Teamleader ofrece únicamente algunos consejos y recomendaciones sobre el RGPD. Este contenido fue redactado con fines informativos y no debe ser interpretado como un asesoramiento legal ni utilizado para determinar cómo el RGPD podría aplicarse a ti y a tu empresa.

Cómo deben prepararse las pymes para el RGPD

1. Conoce tus datos

RGPD lista de control - conoce tus datos

Para cumplir el nuevo marco legal, lo primero que necesitas es entender el tipo de datos personales (p. ej. nombres y direcciones) y sensibles (p. ej. datos médicos) que posees:

  • ¿De dónde viene esta información?
  • ¿Cómo la has conseguido?
  • ¿Cómo planeas utilizarla?

Organiza auditorías internas en tus flujos de datos para mapearlos y ver qué necesita ajustarse al nuevo Reglamento. Asegúrate de analizar correctamente los nuevos documentos legales para actualizar los tuyos adecuadamente.

Si compartes datos personales erróneos u obsoletos con otra empresa, deberás infórmarla de esta inexactitud para que pueda corregir sus errores. Esta es una de las mayores razones por las que debes mapear tus datos.

 

Quieres aprender más sobre el reglamento GDPR y cómo se debería peparar tu negocio para ello? Descárgate nuestro e-book gratuito!

 

2. Pide consentimiento explícito para recopilar datos

Según el nuevo RGPD, para la recopilación de datos es necesario el consentimiento y este debe ser libre, específico, informado e inequívoco. El consentimiento no puede provenir del silencio, de casillas premarcadas o de la inactividad. Es decir, también debes comprobar cómo estás solicitando permiso hoy en día para recopilar datos. En otras palabras, revisa tus métodos actuales para garantizar que coincides con las normas del nuevo RGPD.

El RGPD otorga derechos específicos a los individuos para retirar su consentimiento. Debes informarles de este derecho y ofrecerles formas fáciles de retirar ese consentimiento en cualquier momento.

El consentimiento también será un factor importante para cualquier e-mail que envíes. Para e-mails comerciales (p. ej. ofertas promocionales, descuentos) a los no clientes, necesitarás añadir unos botones específicos para permitir a la gente confirmar su suscripción. Si los individuos no han dado su consentimiento explícito, no estás autorizado a mandarles e-mails comerciales. Los e-mails no comerciales (p. ej. felicitaciones) o aquellos dirigidos a los clientes solo requerirán un opt-out (la opción de darse de baja de esos correos).

3. Comunica cómo y por qué recopilas datos

A tus clientes, debes comunicarles:

  • Cómo recopilas información.
  • Por qué procesas sus datos.
  • Durante cuánto tiempo pretendes almacenar esos datos (no puedes almacenarlos durante más tiempo que el estrictamente necesario).

Debes documentar esa información en tu declaración de privacidad. Dicha declaración deberá hacer referencia, al menos, al RGPD y contener información sobre:

  • Qué datos personales se recopilan.
  • Cómo se consiguen.
  • El propósito del procesamiento.
  • El período de retención de los datos.
  • Los derechos del sujeto de los datos.
  • Tu procedimiento de queja.

Tu proceso de transferencia de datos a terceras partes.

4. Forma a tus empleados

RGPD lista de control - forma a tus empleados

Organiza sesiones informativas internas para ayudar a tus trabajadores a comprender cómo puede el RGPD afectar a tu empresa. Tu programa de sensibilización debe ser un proceso continuo reforzado regularmente durante todo el año y del que también hay que informar a las nuevas incorporaciones.

No olvides actualizar documentos y procedimientos para uso interno, como:

  • Ordenadores portátiles, redes sociales y política de Internet.
  • Contrato de trabajo.
  • Reglamentos laborales.

5. Muestra evidencia del cumplimiento

El marco del RGPD requiere evidencia del cumplimiento de las normas:

  • Identifica la base legal para tu actividad de procesamiento.
  • Documenta tus procedimientos.
  • Actualiza tu aviso de privacidad.

También debes modificar tus “Términos y condiciones” y/o el acuerdo cerrado con tus clientes. Por último, cierra un acuerdo de procesamiento de datos (APD) con procesadores de datos y, en su caso, con subprocesadores.

Nota: Un procesador de datos es cualquier persona (que no sea un empleado del controlador de datos) que procesa los datos en nombre del controlador de datos. Los ejemplos incluyen asesorías, contables y empresas especializadas en estudios de mercado. Los proveedores de la nube, generalmente, también son procesadores de datos.

6. Un sistema para eliminar datos personales

A partir de mayo, deberás disponer de un sistema para eliminar los datos personales una vez que haya terminado el período de retención legal, o cuando los interesados lo soliciten. Estos tienen derecho a retirar su consentimiento en cualquier momento: el derecho a suprimir los datos (o el ‘derecho al olvido’) es un principio clave del RGPD.

Más específicamente, necesitarás eliminar los datos cuando:

  • Los datos personales ya no sean necesarios para los fines para los que fueron recopilados.
  • El interesado retira el consentimiento al procesamiento (y no hay justificación o interés legítimo para seguir haciéndolo).
  • Los datos personales han sido procesados ilegalmente.

7. Crea un plan de gestión de crisis

Todas las empresas necesitan tener un plan contra la violación de datos. Una vez esta ocurra, tendrás 72 horas para informar a la autoridad de control competente en tu país y, en algunos casos, al interesado implicado. Este plazo puede ser incluso más estricto en algunos Estados miembros. Esto significa que no tendrás tiempo de pensar qué medidas adoptar cuando se produzca una violación de datos, así que tenerlas determinadas es clave para evitar sanciones legales.

En tu preparación para el nuevo marco legal, debes establecer procedimientos para detectar, informar e investigar incidentes de este tipo. Asegúrate de que la gente con la que trabajas entiende lo que son las violaciones de datos y de que se han implementado procesos para detectar las señales de alerta de inmediato.

8. Administrar los procedimientos de acceso

RGPD lista de control - administrar los procedimientos de acceso

Tus servidores y los datos personales que almacenas deben ser inaccesibles para todo aquel que no esté autorizado. Además, los interesados tendrán derecho a acceder a sus datos personales, rectificarlos, negarse al procesamiento en algunas circunstancias o suprimirlos, todo ello en un plazo de 30 días en lugar de 45.

Si manejas un gran número de solicitudes de acceso, piensa en desarrollar maneras de gestionarlas más rápidamente y las implicaciones que eso puede tener en tu carga de trabajo. Puedes comprobar si es factible desarrollar un sistema on-line para permitir el acceso de los interesados a su información. Esto también es lo que recomienda el RGPD en la mayoría de los Estados miembros.

9. Protección de datos para menores

El 25 de mayo de 2018 también entrará en vigor una protección especial para los datos personales de los menores. El RGPD establece que los niños menores de 16 años no pueden dar un consentimiento legal porque “pueden no ser conscientes de los riesgos, consecuencias y garantías” de compartir los datos. Si tu empresa ofrece servicios on-line a los niños y depende de su consentimiento para recopilar sus datos, ahora necesitará el consentimiento de sus padres o tutores para procesar sus datos legalmente.

Nota: Los países de la UE podrán establecer una edad inferior, siempre que no sea inferior a 13 años. Bélgica y Francia, por ejemplo, modificarán esta edad a los 13 años.

10. Comprueba si necesitas un Oficial de Protección de Datos

Es posible que necesites designar un Oficial de Protección de Datos interno para supervisar tu estrategia y cumplimiento del programa. Si bien esto no es obligatorio para la mayoría de las pymes, el artículo 29 de la Directiva 95/46/CE, de 24 de octubre de 1995, recomienda a todas las empresas nombrar a una persona responsable como muestra de buena práctica.

No tienes que contratar a un empleado a tiempo completo per se, un OPD también puede ser un consultor externo o un trabajador que asuma ese papel extra además de sus responsabilidades del día a día. Pero asegúrate de que la persona escogida tiene los conocimientos, el apoyo y la autoridad necesarios para llevar a cabo el papel de oficial de manera efectiva.

Ebook GDPR