Como venimos informándoos desde hace tiempo, el próximo 25 de mayo se cumple el plazo establecido por Europa para que, tanto empresas privadas como administraciones públicas comiencen a cumplir Reglamento General de Protección de Datos, RGPD. Las corporaciones han tenido dos años de plazo para poder familiarizarse con los preceptos de la nueva ley, así como para informarse debidamente de cómo cumplirla y las sanciones que se impondrán en caso de no hacerlo.
Aunque la normativa es larga y complicada, si tienes un negocio no está de más que tengas en cuenta estos cinco puntos claves, que serán los que articulen el desarrollo de la misma.
¿Es necesaria la figura del Delegado de protección de datos?
Uno de los puntos más novedosos de la RGPD es la aparición de una figura desconocida hasta ahora, la del delegado de protección de datos (DPO). Se trata de un profesional encargado de velar por el cumplimiento de la ley y que, en el caso de algunas empresas, será obligatoria . Habrá otros casos en las que no será necesario designar un DPO, pero sí que deberán contar con un servicio externo de consultoría de protección de datos. Consulta si tu empresa cumple las condiciones para uno de estos supuestos.
Entre las funciones a realizar se encuentran informar y asesorar a los empleados y a la empresa sobre las nuevas obligaciones en materia de protección de datos; supervisar que se cumplen las normas establecidas y ser el nexo de unión entre las autoridades competentes y los representantes de la empresa.
¿Cómo evaluar el tratamiento de los datos personales?
Hasta ahora, la protección de datos estaba regida en España a través de la LOPD, que establecía una serie de criterios muy concretos para la salvaguarda de la información personal por parte de las empresas o de la Administración Pública.
Sin embargo, la nueva normativa establece una serie de requisitos de calidad para la información que ya tengas almacenada en las bases de datos de tu organización. Estos requisitos pasan por realizar una evaluación del origen y la naturaleza del riesgo que puede suponer para las libertades y los derechos de las personas físicas el impacto del tratamiento de dichos datos. En este punto siempre puedes acudir a una consultoría de protección de datos si aún no cuentas con un DPO.
¿Cómo obtienes el consentimiento para el tratamiento de datos?
El consentimiento de los usuarios será uno de los puntos fuertes de la nueva normativa, ya que si hasta ahora era suficiente con un consentimiento tácito a la hora de ceder los datos personales, a partir del día 25 vas a necesitar que este consentimiento sea explícito para que no quede género de dudas de dicha cesión.
Esto, en la práctica, supondrá que quizás tengas que modificar tu modelo de formulario de recogida de datos, creando una casilla de verificación que el usuario deberá rellenar expresamente.
¿Cómo proporcionar la suficiente información?
Una de las obligaciones de la nueva ley es que los datos deberán estar en ficheros inscritos en el Registro General de Protección de Datos, y deberás informar de este extremo al interesado. Además, los usuarios tendrán que saber quién es el responsable del fichero, para qué has recogido su información personal y que tienen la posibilidad de ejercitar los Derechos ARCO así como aquellos nuevos derechos que incorpora el RGPD.
¿Hay diferentes conceptos de privacidad en el nuevo Reglamento?
Con el RGPD el concepto de privacidad adquiere una nueva dimensión y aparece el principio de privacidad en el diseño y por defecto. Este principio implica que, en todo nuevo tratamiento de datos personales, (ya sea una app, la creación de una web, el comienzo de una newsletter) tendrá que justificar y garantizar que desde la confección de ese nuevo tratamiento de datos personales se ha garantizado el cumplimiento de la normativa aplicable (RGPD).
