ADAPTA TU EMPRESA A LA NORMATIVA DE PROTECCIÓN DE DATOS

 1. Introducción

      Si usted trata datos de sus clientes, los almacena en su base de datos o en cualquier otro soporte, debe cumplir con la normativa de protección de datos que establece el Reglamento General de Protección de datos (RGPD).

2. ¿ Qué ocurre si incumple la normativa de protección de datos?

Si su empresa no cumple con los requsitos de tratamiento de datos que establece el RGPD, debe saber que el mismo reglamento contempla sanciones que oscilan desde el 4% de la facturación anual de la empresa hasta 20 millones de euros. 

Por lo que, para evitar las multas se recomienda encarecidamente la adaptación a la normativa de protección de datos, y dejar constancia del cumplimento del tratamiento de los datos por si la AEPD, la encargada de hacer cumplir el Reglamento, se lo solicita.

3. ¿Cómo adapto mi empresa a la normativa de protección de datos?

La Agencia Española de Protección de Datos ofrece una herramienta sencilla e intuitiva para adaptarse al RGPD, Facilita_RGPD. Sin embargo, si no le resulta útil puede seguir los siguientes pasos:

  1. Ciertas empresas tienen la obligación de designar un Delegado de Protección de Datos (DPD), sin embargo para otras, únicamente será obligatorio identificar a la persona o personas responsables de coordinar la adaptación.
  2. Se ha de elaborar un registro de actividades de tratamiento de estos datos.
  3. Además, habrá de realizar un análisis de riesgos.
  4. También habrá de revisar las medidas de seguridad, en atención a los resultados del análisis de riesgos realizado, para garantizar la confidencialidad y salvaguardar los derechos y libertades de las personas.
  5. Deberán quedar establecidos los mecanismos y procedimientos que resulten necesarios para notificar quiebras de seguridad a las personas cuyos datos trate y de los cuales sea responsable.
  6. También, a partir de los resultados del análisis de riesgos, se habrá de realizar (aunque no es obligatorio en todos los casos) una evaluación del impacto en la protección de datos.

La Agencia Española de Protección de Datos ofrece guías prácticas que sirven de ayuda para realizar el análisis de riesgos y la evaluación del impacto en la protección de datos.

4. ¿Que hay que hacer para cumplir la normativa?

  1. Se deben adecuar los formularios por los que se recaba información a los clientes, proveedores, trabajadores, empresas auxiliares, entre otras,  informando a los mismos del tratamiento de sus datos, así como de sus derechos de acceso, rectificación o supresión.
  2. Se deben dar instrucciones claras y sencillas en el formulario de información, sobre el procedimiento a seguir y los datos de contacto del responsable del tratamiento de datos, para que el cliente, proveedor o cualquier otro, ejercite sus derechos de acceso, rectificación o supresión de sus datos.
  3. Además, será necesario adaptar todos los formularios, contratos, curriculums, expedientes, fichas de cliente, cumpliendo así con los requisitos de Protección de Datos.
  4. Deberá contar, por último, con una política de privacidad de los datos personales que se traten.

5. Deber de información del tratamiento de datos personales.

Una vez adaptada la empresa a la normativa de protección de datos, deberás informar a cada persona cuyos datos vayas a tratar y los que vayas a almacenar sobre el tratamiento de sus datos personales, y cada uno deberá prestar su consentimiento.

Solamente se exime de esta obligación de información, para aquellas personas, que ya prestaron su consentimiento al tratamiento de datos.

La información del tratamiento de datos ha de ponerse a disposición de los interesados en el momento en que se solicitan los datos, sin que deba requerírselo la persona interesada. El responsable del tratamiento de los datos deberá poder acreditar que ha cumplido con su obligación de información.

Los procedimientos de recogida de información son muy variados: formularios en papel, formularios web, entrevista telefónica grabada y otros.

Desde nuestro despacho, siguiendo las directices de la Agencia Española de Protección de Datos se aconsejamos adoptar un modelo de información por capas, que permita en un primer momento ofrecer al interesado la información básica de forma resumida, y se remita este primer documento de información a uno más extenso, donde consten detalladamente el resto de las informaciones.

5.1 ¿Cual es la Información básica que tenemos que incluir?

Los datos que debemos incluir son los siguientes:

  • Identidad del Responsable del Tratamiento de los datos.
  • Finalidad para la que se recogen los datos. Descripción sencilla.
  • Legitimación del tratamiento de los datos. Base jurídica que sustenta el tratamiento.
  • Los destinatarios a los que quepa la posibilidad de que se transmitan los datos. ( previsión de cesión de datos a terceros y el motivo de esa transferencia)
  • Derechos de las personas interesadas. Se ha de hacer referencia al ejercicio de los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento). También debe constar el derecho a retirar el consentimiento prestado para tratar los datos, así como la posibilidad que tendrá el interesado de reclamar ante la Agencia Española de protección de datos.

5.2 Información adicional necesaria.

Otros datos importantes, en función del tipo de datos y la sensibilidad de los mismos, son los siguientes:

  • Datos de contacto del Responsable del tratamiento de datos.
  • Identidad y datos de contacto del representante.
  • Datos de contacto del Delegado de Protección de Datos.
  • Descripción ampliada de los fines del tratamiento.
  • Plazos o criterios de conservación de los datos.
  • Decisiones automatizadas, perfiles y lógica aplicada.
  • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo.
  • Obligación o no de facilitar datos y consecuencias de no hacerlo.
  • Destinatarios o categoría de destinatarios a los que pueden transmitirse los datos.
  • En cuando al ejercicio de los derechos del interesado, deberá informarse sobre cómo ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos y la limitación u oposición a su tratamiento.
  • El derecho que posee el interesado a retirar el consentimiento que va a prestar.
  • Derecho a reclamar ante la Agencia Española de Protección de datos.
  • Cuando los datos no proceden del interesado, debe proporcionarse información detallada del origen de los dato incluso si proceden de fuentes de acceso público.
  • Siempre ha de informarse con un lenguaje claro y sencillo, de forma concisa, inteligible y de fácil acceso.

    Por último, debe informase de las categorías de datos que se tratan en la empresa.

 

Si desea, podemos adaptarle a la ley, y evitará problemas que pueden acarrearle sanciones importantes. Póngase en contacto con nosotros y le informaremos.

Share This