31 Ene ¿Estás seguro de cumplir con el RGPD en tu negocio?
Hace ya casi dos años que el Reglamento Europeo 2016/679 (conocido como RGPD) es de obligado cumplimiento.
Desde el 25 de mayo de 2018, las empresas (y autónomos) que tengan su sede en cualquier país de la Unión Europea o que tengan clientes residentes en la UE, deben cumplir con el RGPD en lo que respecta al tratamiento de datos. Y nos referimos al tratamiento de datos de sus clientes, proveedores, posibles clientes, empleados, colaboradores, etc.
Esta obligación se extiende a las Comunidades de Propietarios, ONGs, Asociaciones y Clubes que traten datos personales.
No existen aún datos oficiales del seguimiento que se está haciendo de esta normativa. La experiencia que estamos teniendo en Emprender Seguro nos hace estimar que menos de un 40% de las empresas han hecho hasta ahora una adaptación real y con garantías de sus negocios.
Porque estamos hablando de cumplir con el RGPD, no de que “parezca que mi negocio cumple con el RGPD”.
A continuación, mostramos una guía sencilla para que puedas comprobar si tu negocio está cumpliendo con la legislación. Si no es así, ya sabes que estás en riesgo de ser sancionado por la Agencia Española de Protección de Datos. Y las multas no son ninguna broma: hasta 2 millones de euros o hasta el 4% de la facturación anual de la empresa (la cantidad más alta).
Qué es cumplir con el RGPD
Para que un negocio pueda cumplir con el RGPD deben verificarse todos estos puntos:
– Realizar un análisis de riesgos y ver si es necesaria alguna evaluación de impacto en el momento de adaptar nuestro negocio a la nueva normativa europea (RGPD).
– Elaborar, mantener custodiado y actualizado un Registro de Actividades de Tratamiento.
– Definir un protocolo de seguridad en lo que se refiere al tratamiento de datos que realiza la empresa.
– Mostrar en la web de la empresa textos legales realizados a medida que expliquen de forma fácil y transparente qué datos personales se tratan en el negocio y cómo se hace.
– Firmar nuevos acuerdos de confidencialidad con trabajadores, colaboradores autónomos y encargados de tratamiento. Se consideran encargados de tratamiento aquellos profesionales o empresas con los que se contrate un servicio y para ello se les cedan datos propios de nuestro negocio o de los de otros. Ejemplos de encargados de tratamiento son: nuestro gestor fiscal/contable, el profesional que realiza el mantenimiento de nuestra web, etc.
– Informar siempre a los titulares de los datos personales de para qué se los solicitamos y qué uso se les va a dar. Esto debe hacerse en los textos legales de la web. Recabar el consentimiento del titular para poder utilizar sus datos personales siempre de manera documentada e inequívoca.
– Informar a los titulares de los datos de los derechos que les asisten sobre los mismos: derechos de acceso, rectificación, portabilidad, supresión de los datos, así como los de limitación y oposición a su tratamiento. Esto debe hacerse en los textos legales de la web.
– En caso de una brecha de seguridad, comunicárselo a la Autoridad competente (AEPD) y a los afectados en el plazo de 72 horas y tomar las medidas de remediación oportunas.
– Tener un Delegado de Protección de Datos cualificado (recomendable que esté certificado) en los casos en que el RGPD indica que es obligatorio: empresas y organismos públicos, entidades que traten datos de alta protección de manera habitual (de menores, salud, antecedentes penales, afiliaciones sindicales, ideas políticas, tendencias sexuales, etc.), entidades que traten datos a gran escala.
Qué es no cumplir con el RGPD
Tu empresa no cumple con el RGPD si realiza o ha realizado cualquiera de las siguientes acciones:
– Os habéis limitado a cambiar los textos legales de la web y la firma que aparece en vuestros emails.
– En el funcionamiento diario del negocio, seguís tratando los datos de clientes, proveedores, suscriptores y potenciales clientes de la misma manera que lo hacíais antes del 25 de mayo de 2018.
– Si enviáis información comercial de vuestro negocio a todos los emails que conseguís en cualquier web, feria o networking sin haber obtenido previamente su autorización expresa y por escrito para enviársela.
– Si no conserváis prueba de que los suscriptores (no clientes) que teníais en vuestro negocio antes del 25 de mayo de 2018 os hubiesen autorizado de manera explícita a recibir comunicaciones comerciales, pero incluso así, seguís enviándoselas.
Cómo puedo estar seguro de cumplir con el RGPD
El primer paso es contactar con un profesional o empresa acreditado en Protección de Datos. Una pista: las ofertas de que, por 50€ ó 75€ tu negocio cumplirá con el RGPD no las hace nunca un verdadero profesional cualificado.
No pagues por un servicio incompleto, que no hará que tu negocio cumpla con la legislación vigente ahora mismo en materia de protección de datos. Es tirar tu dinero a la basura.
Además, estarás en una inseguridad jurídica. Tu negocio, en cualquier momento, puede recibir una inspección de la Agencia Española de Protección de Datos, ya sea de oficio o por denuncia previa. No cumplir con el RGPD conlleva importantes multas y sanciones por parte de la AEPD.
Por eso, recomendamos que pongas tu negocio solo en manos de profesionales certificados, o que estén en proceso de certificación, como Delegado de Protección de Datos.