Nueve sencillos pasos para comprobar si cumples con la ley de protección de datos

Con este sencillo decálogo, elaborado por la consultora VASS, podrás saber si tu pyme es una de las muchas que están incumpliendo con el nuevo Reglamento Europeo de Protección de Datos (GDPR), que contempla sanciones de hasta 20 millones de euros o por el importe del 4% de la facturación anual del ejercicio anterior.

TOMAR CONCIENCIA

“El primer paso para adecuarse al reglamento es concienciarse de por qué es importante proteger los datos. Si los empresarios y trabajadores no tienen este aspecto asimilado, las medidas para cumplir con la GDPR no serán suficientes ni eficaces”.

ACREDITAR EL CUMPLIMIENTO DE LA GDPR

La Agencia Española de Protección de Datos (AEPD) es el organismo público encargado de hacer cumplir el reglamento. Para evitar las multas, lo aconsejable es que dispongas de evidencias de que has implementado lo que marca la normativa por si la AEPD lo solicita.

ELABORAR UN REGISTRO DE ACTIVIDADES

En este documento se especifica qué datos está recogiendo la empresa y con qué fin, así como las medidas y el nivel de seguridad que se aplican, el tipo de tratamiento y si los datos almacenados van a ser comunicados –cedidos– fuera del Espacio Económico Europeo (EEE).

REVISAR LOS CONSENTIMIENTOS

“Todos los organismos deben revisar los consentimientos obtenidos (uso de datos para fines comerciales, enviar información por mail, etc.), así como los documentos de confidencialidad de los trabajadores y los de seguridad para adecuarlos a la GDPR. Será necesario enviar de nuevo toda la información a los usuarios y empleados por motivos de transparencia y, además, hacerlo cuanto antes”.

ADECUAR LAS MEDIDAS DE SEGURIDAD

“En función de los resultados del análisis de riesgo que realice la compañía, los responsables del tratamiento de datos tienen que ajustar las medidas de seguridad a la realidad de su empresa. Esta es la única fórmula para garantizar un buen uso de la información y de minimizar el riesgo de que esta se vea comprometida en caso de un ciberataque”.

ESTABLECER MECANISMOS DE NOTIFICACIÓN

Si se produce una violación de seguridad que afecte a los derechos y libertades de los usuarios, como empresa, debes valorar si hacerlo público en un plazo máximo de 72 horas. En caso afirmativo, tendrás que comunicarlo a los usuarios, clientes y empresas afectados, además de remitir la información a la AEPD. Por contra, si has podido subsanar la brecha o los datos robados estaban correctamente cifrados no será necesaria la notificación.

CREAR UNA BASE LEGAL DEL PROCESAMIENTO DE LOS DATOS PERSONALES

“La normativa recoge seis tipos de bases jurídicas para el tratamiento de los datos en Europa: interés vital del individuo, interés público, necesidad contractual, cumplimiento de obligaciones legales, consentimiento inequívoco del individuo e interés legítimo del responsable del tratamiento de datos. Todas tienen el mismo valor legal y las empresas deben ceñirse a ellas para funcionar de un modo correcto”.

¿ES NECESARIO UN DELEGADO DE PROTECCIÓN DE DATOS (DPD)?

La RGPD establece tres situaciones genéricas en las que sí lo es: «cuando se trate de un organismo público, si el responsable hace una monitorización y seguimiento de datos a gran escala y cuando dicha información tenga que ver con condenas o delitos de diferente índole (por ejemplo, la sexual). Si la empresa cumple con alguno de estos supuestos, debe certificar al encargado como DPD a través de la AEPD”.

La nueva LOPDGDD, en su artículo 34, define otros 16 supuestos en los que las empresas están obligadas a designar un DPO, entre otros: los colegios profesionales y sus consejos generales, los centros docentes así como las Universidades públicas y privadas, las entidades aseguradores y reaseguradoras, los centros sanitarios y las empresas de seguridad privada.

INCORPORAR INNOVACIÓN TECNOLÓGICA

“La tecnología es un aliado fundamental para facilitar el cumplimiento de la normativa. Las nuevas herramientas y soluciones que los expertos en la materia sacan al mercado no sólo permiten incorporar medidas de seguridad eficaces, sino que también simplifican y agilizan la extracción y el análisis de la información”.