¿Qué debo hacer en mi negocio para cumplir con el RGPD? (I)

Infórmate sobre cómo adaptar tu negocio para cumplir con el RGPD

Una serie de sencillos pasos y recomendaciones para adaptar tu negocio

Ante la próxima entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, y que será obligatoria desde el próximo 25 de mayo, las empresas lo primero que deben preguntarse es, ¿qué datos tengo, de dónde provienen y por dónde circulan?

Es importante comprender qué datos personales manejo en mi negocio, cómo los conseguí, cómo se almacenan, cómo se usan y por dónde pueden circular. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, sus publicaciones en redes sociales, su información médica o la dirección IP de su ordenador.

¿Cómo deben ser los datos personales que gestionamos?:

  • Transparentes y justos
  • Procesados legalmente y para un propósito específico
  • Adecuados y relevantes para el propósito para el que se están procesando
  • Precisos (eliminándolos y actualizándolos con mayor regularidad)
  • No deben ser conservados más tiempo del necesario
  • Seguros

¿Tenemos consentimiento para recoger y operar con estos datos?

El GDRP hará mucho más complicado conseguir el consentimiento para para procesar los datos personales de un sujeto (por ejemplo, para fines comerciales). La definición de consentimiento se ha ajustado de manera que debe ser "inequívoca" cuando se produzca. Es decir, que el individuo de manera activa y voluntaria haya marcado una casilla o seleccionado la opción de consentimiento. Además, el reglamento se aplicará con carácter retroactivo, por lo que debemos conseguir el permiso inequívoco también de los datos personales que tenemos ya almacenados.

Así, la protección de los datos debe ser considerada e integrada en cualquier sistema o proceso desde su propia concepción, tanto en términos de forma en los que se diseñen, como en las políticas y procedimientos establecidos para dictar cómo las personas deberían usarlos.

¿Necesito designar a un delegado de protección de datos (DPD)?

El nuevo reglamento obliga a las compañías a designar un delegado de protección de datos, responsable por tanto del cumplimiento del RGPD en su compañía, e independiente respecto a la dirección y al equipo que realice el procesamiento de datos. De esta manera, las responsabilidades del delegado no podrán delegarse en un integrante del equipo de sistemas de la empresa.

Si bien la mayoría de las empresas con menos de 250 empleados estarán exentas, existe una excepción: si su actividad principal implica monitoreo o procesamiento a “gran escala” de datos confidenciales (que incluyan datos que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación a sindicatos, o datos relacionados con la salud o la vida sexual), deberán designar un delegado de protección de datos.

Las entidades interesadas en obtener la acreditación para certificar a su DPD pueden solicitar información sobre cómo iniciar el proceso de acreditación a través de ENAC (Entidad Nacional de Acreditación)

 

¿Tienes un negocio y necesitas ayuda para adaptarlo al nuevo RGPD que entrará en vigor el próximo 25 de mayo? Tienes a tu disposición a nuestro equipo experto en ciberseguridad y la solución para empresas que ha desarrollado para el mercado español.

Infórmate sobre Hiscox Cyber Clear

¿Quieres  más información?

Accede al resto de post sobre el RGPD, como ¿Qué es el nuevo Reglamento General de Protección de Datos?, y ¿Está tu negocio preparado para el Reglamento General de Protección de Datos?, o descarga la versión en inglés de nuestra guía completa.