Hay una serie de modificaciones fundamentales que tenemos que implementar en nuestra empresa para que cumpla con el Reglamento Europeo de Protección de Datos (RGPD). De no tenerlas en cuenta en el espacio de tiempo contemplado para adaptarnos, nos puede acarrear multas y sanciones. Por ello, veremos punto por punto y de manera resumida lo que necesitamos saber:
Primer paso: necesidad de implicación
Se cuentan con dos años de adaptación al reglamento, por lo que es aconsejable invertir los primeros meses en concienciar al personal clave de la necesidad de implicarse en la tarea, para no dejarla para última hora. Por otro lado, una buena idea es empezar por ejemplo examinando el registro de riesgos, si se cuenta con él.
Labor de documentación
Esto supone documentar con exactitud los datos personales que tenemos: desde dónde los hemos obtenido hasta con quién los compartimos. Si tenemos datos inexactos y los hemos compartido con otra organización, debemos informar a la otra organización sobre dicho error para que pueda corregirlos.
Esta labor de documentación ayudará a cumplir con el principio de rendición de cuentas del reglamento.
Asegurar los derechos individuales.
Con el RGPD se debe asegurar que se cubren los derechos de las personas en materia de datos. Esto incluye el derecho al acceso de los mismos, corrección de errores o inexactitudes, eliminar información, evitar la comercialización directa, prevenir la toma de decisiones y perfiles automatizados, así como el nuevo derecho a la portabilidad de datos.
Tratamiento de información de privacidad
Se deben revisar los avisos de privacidad para después introducir los cambios necesarios que se adapten al reglamento. Además, deberemos tener en cuenta algunos aspectos nuevos de las que tendremos que informar, como por ejemplo, la base legal para procesar los datos.
Consentimiento verificable
Con el RPGD consentimiento tiene que ser verificable, por lo que debemos asegurarnos de que cumplimos con los estándares requeridos. El reglamento hace mención al “consentimiento” y al “consentimiento explícito”. Ambas formas tienen que darse de manera libre, específica, informada e inequívoca.
Protección especial de menores
Se debe contar con un sistema de verificación de edad, para obtener en el caso de los menores el consentimiento de los padres o tutores para poder procesar sus datos. Algo que se convierte en especialmente importante dentro de los servicios comerciales de Internet y en las redes sociales.
Solicitudes de acceso
Se deben actualizar los procedimientos y establecer un plan sobre cómo manejar las solicitudes en el tiempo dado, así como proporcionar cualquier información adicional.
Normalmente no se podrá cobrar por cumplir con una solicitud y se contará sólo con un mes para cumplir, frente a los 40 días actuales.
Por otro lado, también debe proporcionarse información adicional a las personas que realicen solicitudes, así como el derecho a corregir datos inexactos.
Fundamento jurídico
Deberemos identificar la base legal con la que se procesan los datos en la organización. Y es que con el nuevo reglamento los derechos los algunos individuos serán modificados, como por ejemplo, el más destacado será el derecho a borrar los datos.
Violación de datos
Se deben desarrollar procedimientos para detectar, informar e investigar una violación de datos personales. El reglamento obliga a notificar una violación en todos los casos. Hablamos, por ejemplo, de un robo de identidad o una violación de confidencialidad.
Protección de Datos desde el diseño y Evaluaciones de Impacto
Hay que conocer las Evaluaciones de Impacto de la Privacidad (PIA) y saber cómo implementarlas. Introducir la privacidad por diseño y minimización de datos, si bien antes era un requisito implícito, ahora será un requisito legal expreso.
Internacional
Si nuestra organización opera internacionalmente, debemos determinar a qué autoridad de supervisión de la protección de datos debe someterse.
Delegados de Protección de Datos (DPO)
Se hará necesario designar a un oficial de protección de datos, asesor externo si es necesario, o a alguien que asuma la responsabilidad de velar por la materia. Tendremos que evaluar dónde se ubicará dentro de la estructura organizacional.
El reglamento exigirá que algunas organizaciones designen a un oficial de protección de datos (DPO). Hablamos, por ejemplo, de las autoridades públicas o aquellas que realicen actividades que impliquen el seguimiento sistemático de datos en gran volumen.
