En mayo de 2018 se introdujo el RGPD en España, un Reglamento anunciado por el Consejo de la UE desde 2016 y que afecta a todos los individuos, empresas, entidades e instituciones.
A pesar de que actualmente nos encontramos finalizando el período de adaptación, muchos todavía no conocen cuáles son sus obligaciones y derechos en relación al Reglamento, y por lo tanto el riesgo de ser sancionado con multas de hasta 20 millones de euros o un porcentaje de la facturación global del anterior ejercicio podría estar muy cerca. Ha llegado el momento de actuar.
A continuación contestaremos a las preguntas más importantes para conocer las exigencias introducidas por el RGPD y así evitar ser sancionado.
¿Qué es el RGPD?
El Reglamento General de Protección de Datos o RGPD introduce la obligación y responsabilidad de las entidades, empresas e instituciones (operadores) de gestionar y tratar adecuadamente la información personal que recopilen de sus clientes, empleados y proveedores.
El RGPD se introduce como una garantía a la privacidad reconocida en la Carta de los Derechos Fundamentales de la UE, por lo tanto, la meta principal es devolver el control de los datos que corresponde a cada individuo, esto quiere decir que las empresas deben garantizar a sus usuarios y clientes un tratamiento de datos que contenga previsiones de riesgos y garantice su seguridad, debiendo formar a sus empleados en los métodos de dicho tratamiento, aplicar medidas de confidencialidad, anonimato, proporcionar un acceso a los datos de forma sencilla donde cada individuo pueda modificar, portar y eliminar esos datos, y aplicar las garantías y precauciones derivadas de la transferencia internacional de datos, entre otros.
¿A quién y a qué tipo de datos afecta?
El RGPD afecta a todas las personas, empresas, instituciones y entidades cuya actividad tiene impacto dentro del espacio económico europeo.
La obligación recae sobre todos los operadores cuya actividad comprenda la recopilación de datos personales relacionados con clientes, proveedores o empleados. Incluso las empresas que no estén establecidas en el espacio económico europeo deben introducir técnicas internas adecuadas de gestión de datos cuando su actividad afecte a residentes de un país miembro de la UE.
Deberán ser tratados los datos personales recopilados, ya sea en relación con la vida privada, profesional o pública. Puede tratarse de información genérica como, por ejemplo, el nombre; domicilio; foto; número de teléfono; dirección de correo electrónico; publicaciones en sitios web de redes sociales; dirección IP de un ordenador, etc; e información considerada con un nivel de sensibilidad mayor, como los datos relacionados con la información bancaria o médica.
¿Cómo aplicar el RGPD en la actividad diaria de tu empresa?
Mediante procedimientos y mecanismos introducidos en función a su actividad y de acuerdo a las exigencias del RGPD, como la elaboración de protocolos internos, llegando a la posible necesidad de llevar a cabo Evaluaciones de Impacto para evitar brechas de seguridad o incumplimiento de la normativa y protegerse de las eventuales sanciones impuestas por los organismos de control.
El tamaño y tipo de actividad de la empresa son factores que modifican los mecanismos a aplicar, las empresas que cuentan con varias sedes o sucursales, tengan o no presencia internacional, deben aplicar mecanismos uniformes en todas ellas mediante el servicio de ventanilla única.
Por otro lado, se requiere un control y supervisión para el cumplimiento interno del RGPD. Debe analizarse si es necesario contar con un experto relacionado con la legislación y las prácticas de protección de datos, denominado DPO por sus siglas en inglés (Data Protection Officer). Esta figura además deberá ser competente en la gestión de procesos relacionados con el campo de la tecnología de la información, seguridad cibernética de datos y otros problemas críticos vinculados con la continuidad empresarial en la retención, tratamiento y confidencialidad de datos personales.
¿Por dónde empezamos?
Debemos analizar el tipo de datos que la empresa recopila y almacena, y en función de la intención que de uso se tenga, establecer un tratamiento óptimo, ya sea mediante redacción de correos, protocolos internos de actuación u otras medidas.
Además es muy importante realizar la gestión y administración del canal de información que se intercambia a través de las páginas web, redes sociales y correos electrónicos, donde es muy posible que el consentimiento otorgado por el usuario o cliente antes de mayo 2018 ya no sirva, por lo que deberá ser actualizado de manera expresa, a riesgo de estar operando al margen de la normativa con los consiguientes peligros.
En conclusión
La gran variedad y uso de los datos que realizan las empresas pueden producir innumerables cuestiones en la práctica. Por ello, es muy recomendable contar con un asesoramiento jurídico y práctico adecuado. Desde Rubert&Partners ofrecemos una solución fiable y adaptada a cada situación, que simplificará las obligaciones de los operadores derivadas de la aplicación el RGPD, como el análisis de las necesidades de cada empresa, asesoramiento adaptado a sus necesidades en función al tratamiento de datos adecuado, valoraciones de los datos, desarrollo de los mecanismos y protocolos internos en función de los mismos, revisión de emails comerciales que se envían asegurando que cumplan con los requisitos, redactamos clausulas estándares en contratos, etc. Todo ello con la intención de que su actividad esté protegida y de esta manera evitar los problemas futuros que puedan presentarse debido a un despiste o a una estrategia deficiente.
----------------------
**La presente opinión no constituye asesoramiento legal. Es una orientación de aplicación general. María Rubert es abogada y árbitro con oficinas en EAU, Egipto y España. Para más información: [email protected] o +971 50 35 14036.
