Muchas empresas aún encuentran dificultades a la hora de adaptar sus protocolos al RGPD. Esto puede suponer graves consecuencias debido a que las autoridades en materia de protección de datos pueden imponerles cuantiosas sanciones. Por esta razón, en este texto va a hacerse un repaso a los principales obstáculos y sus posibles soluciones.
Dificultades de las empresas para cumplir el RGPD
Entre las medidas impuestas en el Reglamento General de Protección de Datos, hay algunas que suponen más dificultades que otras. Sobre todo para las PYME, aunque las más infractoras son grandes empresas.
1. Consentimiento
Adecuar el consentimiento es una de las tareas más complicadas. En el reglamento se recoge que debe tratarse de una manifestación inequívoca o una clara acción afirmativa. Por tanto, la adopción de medidas para que la aceptación de las condiciones sea efectiva requiere aplicar protocolos muy específicos.
2. Derecho a la información
Aunque anteriormente a la entrada en vigor del reglamento ya se exigía una cláusula informativa, la nueva norma incluye más exigencias. Es importante saber qué información se requiere de cada empresa y adaptarla para asegurar la protección de los derechos de los usuarios.
3. Evaluación del riesgo
Los estudios del impacto tratan de minimizar los riesgos que el tratamiento de datos podría suponer para los usuarios. Para ello, es importante establecer un sistema y contar con una plantilla cualificada en dicha evaluación.
4. Certificación de los Delegados de Protección de Datos
Las entidades tenían la libertad de elegir si contrataban estos servicios externamente o se ocupaban de ello internamente, es decir, contratando a un experto o formando a alguien de su plantilla.
El problema principal se derivaba de la necesidad de certificar que la persona que supervisaba el tratamiento contaba con la cualificación necesaria. Para solucionar este problema puede recabarse consejo profesional o consultarse directamente a la Agencia Española de Protección de Datos acerca de la titulación que se alberga al amparo de la ley.
5. Relación entre responsables y encargados
En algunas entidades es necesario realizar contratos entre estas y quienes ofrecen servicios de acceso a ficheros de datos. Lo ideal, según la AEPD, es revisar que las empresas cumplan lo establecido en el RGPD. Además, cualquier nuevo contrato debe incluir en el apartado del tratamiento todas las cláusulas que impone la nueva normativa.
La herramienta de la AEPD: ¿cómo puede ayudar?
Dado que, principalmente, el problema de adaptación lo tienen los autónomos y las PYME, la AEPD ha actualizado su herramienta online para ayudar en la adaptación al RGPD a quienes tienen un riesgo menor. Anteriormente, esta existía para apoyar en el cumplimiento de la antigua Ley de Protección de Datos.
No obstante, en septiembre de 2017 se acogió a la nueva normativa y, desde entonces, la AEPD no ha dejado de hacer ampliaciones y modificaciones para que sea más fácil adaptarse a los nuevos requerimientos de protección de datos.
¿Cómo funciona?
En primer lugar, las entidades realizan un cuestionario en cuatro fases. El primer paso consiste en que la empresa escoja entre todas las herramientas que necesite e indique cuál es su sector y qué tipo de datos trata.
Después de esto, tendrá que identificar a quien desarrolle el tratamiento de datos sobre la información de la empresa. Por otro lado, Facilita RGPD, que es el nombre de esta herramienta, pedirá que se indiquen los tratamientos que desarrolla la entidad en la recogida de datos de clientes, trabajadores, currículos…
Mejoras y actualizaciones de la herramienta
Se han mejorado las cláusulas de información que se generan para los diferentes tipos de tratamientos. Es más, se ha incluido la información para el usuario sobre la posibilidad de reclamar ante la AEPD en caso de que no quede conforme con el tratamiento de sus datos que hace la entidad.
Se ha añadido un nuevo campo en el cuestionario previo que permite incluir un correo electrónico para las solicitudes de los usuarios, facilitando el ejercicio de los derechos ARCO de forma digital.
Otra mejora estriba en la aparición de la cláusula de confidencialidad. Esta deberá incluirse cuando una entidad, para desarrollar sus servicios, tenga acceso a datos personales pero no a sistemas de información. Esto asegura que la compañía no podrá registrar ni publicar esta información personal.
En quinto lugar se ha reestructurado el anexo final, separando la información que hace referencia a la solicitud de ejercicio de derechos, las medidas de seguridad y el protocolo en caso de que se capten imágenes con cámaras de videovigilancia.
También se ha ampliado la información acerca de la atención a las solicitudes de ejercicio de derechos, permitiendo una mayor divulgación de los derechos de los usuarios y facilitando un enlace a los formularios de la web de la Agencia. Por último, se incluye el distintivo que señaliza una zona de videovigilancia para informar a los usuarios.
En definitiva, Facilita RGPD puede ayudar notablemente a la adaptación de una pequeña empresa a la nueva normativa de protección de datos. No obstante, ante cualquier necesidad, lo ideal es contar con el apoyo de expertos.