10 claves para cumplir con los requisitos del RGPD

1. Conoce bien tus datos: ¿de dónde provienen? ¿por dónde circulan?

La UE define “datos personales” como “cualquier información de un individuo, ya esté relacionada con su vida privada, profesional o pública”. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o la dirección IP de un ordenador. Se amplía así el concepto dato personal respecto al marco normativo anterior.

2. La figura del controlador y del procesador, y sus respectivas responsabilidades

Por un lado, está el denominado controlador de datos, quien posee los datos, y determina sus fines, uso y circulación. Por otro lado, el procesador, quien puede procesar datos personales en nombre del controlador. La obligación de proteger los datos ahora es compartida entre controladores y procesadores, y ambos están regidos por el RGPD. Además, los procesadores estarán sujetos a sanciones cuando no cumplan con las obligaciones contractuales o actúen fuera de las instrucciones del controlado.

3. ¿Cómo deben ser los datos personales que gestionan?

Los datos personales deben ser:

  • Seguros
  • Transparentes
  • Precisos
  • Justos
  • Legalmente adecuados y procesados para un propósito específico.

Además, no  deben ser conservados más tiempo del necesario y para el propósito para el que se ha procesado.

4. ¿Existen consentimiento para recoger y operar con estos datos?

La definición de consentimiento se ajusta, de manera que debe ser "inequívoca" cuando se produzca, es decir, que el individuo de manera activa haya marcado una casilla o seleccionado la opción de consentimiento. Además se aplica con carácter retroactivo, por lo que deberemos conseguir el permiso inequívoco también de los datos personales que tenemos ya almacenados.

5. La protección de datos concebida desde el diseño

Ahora, la protección de los datos debe ser considerada e integrada en cualquier sistema o proceso desde su propia concepción, teniendo en cuenta:

  • Términos de forma en los que se diseñen
  • Políticas y procedimientos establecidos para dictar cómo las personas deberían usarlos.

6. Derecho de acceso a los datos

Las personas aumentan sus derechos en lo que respecta a la forma en que se protegen sus datos personales. Las empresas deben asegurarse de que existen procesos y plantillas adecuadas para que cualquier sujeto que quiera ejercer su derecho sea respondido en un plazo máximo de un mes.

7. Formación: ¿qué constituye una violación de datos personales?

Las compañías han de asegurarse de que todas las personas que forman parte de esta comprendan qué constituye una violación de datos, así como establecer un proceso para localizar eslabones o procesos internos más débiles.

8. Revisar los términos y condiciones, y los contratos con proveedores

En la adaptación del negocio al GDRP se debe incluir también a aquellos proveedores que procesen datos personales en nombre o coordinados con la empresa, para asegurar que existe la protección adecuada y exigida en el nuevo marco reglamentario.
Además, cuando los proveedores procesen datos personales en nombre de la compañía, se tendrá la obligación de actualizar los contratos con ellos para incluir una serie de cláusulas obligatorias.

9. Revisar el aviso de privacidad

Ante los nuevos requisitos es probable que la política de privacidad sea más extensa. Se tendrá que entrar en más detalles, y además deberá ser comprensible y accesible. El contenido variará si los datos personales recogidos son para uso propio o se estan almacenando para un tercero.

10. ¿Es necesario designar a un delegado de protección de datos (DPD)?

Aunque la mayoría de las empresas con menos de 250 empleados estarán exentas, si sus actividades principales implican monitoreo o procesamiento a “gran escala” de datos confidenciales (que incluyan datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación a sindicatos, o datos relacionados con la salud o la vida sexual), deberán designar un delegado de protección de datos independiente a la dirección de la compañía y al equipo que realice el procesamiento de datos.

Si quieres ampliar información accede aquí a nuestro resumen en el que profundizamos en el RGPD y podrás comprobar si tu negocio está preparado para el nuevo reglamento de protección de datos.