¿No sabe si su pyme cumple con los requisitos de la nueva ley de protección de datos? Está de enhorabuena, le presentamos un eficaz decálogo redactado por la consultora VASS experta en política de privacidad en entornos digitales que consta de pocos y fáciles pasos para comprobarlo. Así, en caso negativo, apresurarse sin perder la calma a implementarlos y, en caso positivo, dormir tranquilo porque no estar al día con el Reglamento Europeo de Protección de Datos (RGPD) puede acarrear sanciones tan cuantiosas como 20 millones de euros o un 4% sobre la facturación anual del ejercicio anterior de su compañía. Con esta manejable y rigurosa guía no solo verificará si su empresa aplica el RGPD si no que sabrá algo más profundo: si se ajusta, si lo adopta correctamente.
El primer paso para adecuarse al reglamento es concienciarse de la importancia de la protección de datos. Si los empresarios y los trabajadores no tienen claro este concepto, los ajustes para cumplir con el RGPD siempre serán insuficientes e inútiles.
Poseer un documento que arroje los resultados de un análisis de riesgo y estimación de efectos acerca del procedimiento de recolección de datos que se ha seguido hasta la fecha resulta vital para emprender acciones concordantes con el reglamento. Su puesta en marcha es complicada por técnica, tiempo y recursos pero el coste de las sanciones, a nivel comparativo, es visiblemente mayor y concierte el esfuerzo en compensatorio.
A continuación, es altamente recomendable disponer de pruebas documentales de la adopción de medidas por parte de su entidad por si la Agencia Española de Protección de Datos (AEPD) lo solicita. La AEPD es el organismo público encargado de hacer cumplir el reglamento y el satisfactorio intercambio de documentación con dicho ente le facilitará evitar multas.
Lo siguiente que debe elaborar es un historial de movimientos, es decir, un documento que contenga el registro de actividades de recogida de datos y su finalidad, el nivel de seguridad de las medidas, el carácter del tratamiento aplicado y el destino interior o exterior de la cesión de los datos almacenados – dentro o fuera del Espacio Económico Europeo (EEE)-.
No hay una jerarquía entre ser fiel a los preceptos del reglamento y ser leal con la situación contractual acordada con el usuario suministrador de datos. Hay que revisar los consentimientos concernientes a extremos tales como “uso de datos para fines comerciales”, “enviar información por email”, documentos de confidencialidad de los trabajadores, etc. Será necesario enviar de nuevo toda la información a los usuarios y empleados por motivos de transparencia y, además, hacerlo cuanto antes.
Asimismo, las medidas de seguridad tendrán que ser realistas con la situación y el alcance de su empresa, dicha evaluación se obtiene de la realización de un análisis de riesgos por su compañía. Ésta es la única formula para prevenir el peligro de un ciberataque y asegurar un idóneo uso de la información.
Será necesaria la presencia de un encargado de la Delegación de Protección de Datos certificado a través de la AEDP si su empresa interviene en alguna de estas tres categorías: cuando se trate de un organismo público, si el responsable hace una monitorización y seguimiento de datos a gran escala y cuando dicha información tenga que ver con condenas o delitos de diferente índole (por ejemplo, la sexual).También están sujetos a designar a este profesional y someterse a este servicio, las siguientes instituciones: los centros docentes al igual que las Universidades públicas y privadas, los colegios profesionales y sus consejos generales, los hospitales, ambulatorios y las empresas de seguridad privada y las compañías de seguro y entidades reaseguradoras. Según el artículo 34 de la nueva LOPDGDD
Otras medidas que le reportarán grandes beneficios a la hora de adaptar su empresa a las exigencias de la ley de protección de datos son: instalar mecanismos de notificación e incorporar al mejor aliado para la adecuación a la normativa: la innovación tecnológica. Y por último, crear una base de datos para el procesamiento de los datos personales. La normativa recoge seis tipos jurídicos de aplicación en Europa: interés vital del individuo, interés público, necesidad contractual, cumplimiento de obligaciones legales, consentimiento inequívoco del individuo e interés legítimo del responsable del tratamiento de datos.