La mayoría de las empresas consideran que bastan unos pequeños retoques en lo que ya tienen implantado para cumplir con el Reglamento Europeo de Protección de Datos (RGPD), y ello no es cierto. Se recomienda ponerse al día antes de que llegue el 25 de mayo, y ya no queda apenas tiempo para estudiar si las medidas implantadas son suficientes y eficaces.

A partir del 25 de mayo, fecha de entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (RGPD), todo cambiará ya que se modificará la forma en la que las pymes adquieren y utilizan la información de sus clientes, y no contar con un plan de protección personal puede resultar muy caro.

A continuación, pasamos a exponer las principales novedades del RGPD:

1.- Política de gestión de datos personales. Tener una política de gestión de datos personales proactiva y sólida será indispensable para evitar las multas graduales según el tipo de infracción, y estar a salvo de peticiones de indemnizaciones millonarias por los posibles perjudicados. Una herramienta muy útil es el canal de denuncias de malas prácticas que sirva para comunicar situaciones anómalas, reprochables o ilegales para profundizar en un compromiso firme de la empresa con el buen gobierno y la transparencia.

2.- Análisis de riesgos. Para conseguirlo, hay que analizar los riesgos y evaluar los impactos en los que las empresas pueden incurrir al tratar y utilizar los datos personales, y diseñar un modelo jurídico específico a medida, para baremar los posibles peligros y diseñar las medidas adecuadas para evitar sorpresas de sanciones, denuncias o bloqueos de operaciones en curso.

3.- Almacenamiento de los datos. A partir del 25 de mayo, los datos tienen que almacenarse siempre de manera anónima y bajo seudónimo. Por lo tanto, las pymes deben adaptar sus sistemas para que el archivo de estas informaciones se haga de esta forma.

4.- Obtención del consentimiento. No será posible el tratamiento de datos basados en consentimientos tácitos, sino que será necesario disponer del consentimiento expreso, explícito y específico de los interesados.

5.- Información más completa, detallada y específica en dos capas, una primera con la básica en el momento de la obtención del consentimiento, y otra adicional con la identificación del delegado de protección de datos, cesión de datos, o transferencia internacional de datos.

6.- Ejercicio del derecho de los interesados. Derechos ARCO, además de los derechos a la portabilidad de los datos o el derecho al olvido.

7.- Brechas de seguridad. Se obliga a los encargados/responsables del tratamiento de los datos a informar a la Agencia Española de Protección de Datos (AEPD), en el plazo de 72 horas desde el fallo con un primer análisis de lo acontecido. También se obliga a informar a los interesados cuando se haya puesto en peligro sus derechos y libertades.

Share This