Adaptación RGPD: todo lo que debes saber para la protección de datos

adaptacion-rgpd

La adaptación RGPD o del Reglamento General de Protección de Datos es una obligación para todas las empresas europeas o con actividad en Europa. 

El reglamento entró en vigor el 25 de mayo de 2018. El RGPD pretende fortalecer los derechos de las personas y las obligaciones de las empresas en relación con la protección, el almacenamiento y el procesamiento de los de datos.

appvizer te brinda todas las claves para comprender esta nueva Ley, la importancia de la seguridad informática y algunas herramientas para facilitar el cumplimiento:

La mejor selección de software para tu negocio

Data Privacy Solution

Data Privacy Solution
Software RGPD y LOPDGDD para empresas y consultores
DEMO GRATUITA
Ver este software

SAP HANA Cloud Platform

SAP HANA Cloud Platform
Software de Desarrollo de aplicaciones
Visita el sitio web
Ver este software

Signaturit

Signaturit
Firma y certifica tus documentos y comunicaciones digitales.
Prueba Gratuita
Ver este software

¿Qué es el RGPD?

Definición de RGPD

El acrónimo RGPD significa Reglamento General de Proyección de Datos. También se suele utilizar el acrónimo en inglés GDPR que significa General Data Protection Regulation.

El RGPD es una regulación europea definida por el Parlamento Europeo y el Consejo de la Unión Europea. Estas regulaciones reforman las reglas para el procesamiento de datos personales.

Esta nueva ley está vigente desde el 25 de mayo de 2018 para cualquier empresa que procese los datos personales de una persona europea, independientemente de si esta organización ejerce o no en la Unión Europea.

En resumen, el RGPD:

  • Establece que el consentimiento de una persona es necesario para poder recopilar y procesar los datos.

  • Determina las acciones obligatorias para la adaptación de la empresa.

  • Penaliza fuertemente cualquier empresa que no respete los derechos de los ciudadanos.

El derecho para disponer de los datos personales

Este reglamento especifica y fortalece los derechos de cada europeo:

  • La portabilidad de sus datos: un ciudadano de la Unión Europea debe poder transferir sus datos a un servicio para comunicarlos a otro.

  • La transparencia en el uso de sus datos: los ciudadanos deben ser informados sobre el uso que se hace de sus datos. Debe poder acceder y modificar sus datos como le plazca.

  • Los menores de 16 años están protegidos: en Internet, cualquier plataforma debe obtener el consentimiento de un padre antes de que su hijo pueda registrarse.

  • Una autoridad de protección: si el ciudadano encuentra una dificultad o constata una anomalía en el procesamiento de sus datos, puede contactar a una autoridad única en su país para defender sus derechos.

  • Las empresas no conformes son sancionadas: cualquier empresa que no respete los derechos de los ciudadanos está sujeta a una multa del 4% del volumen de negocios de la empresa.

  • El derecho a ser olvidado: de acuerdo con el principio de respeto a la vida privada, los ciudadanos pueden exigir la eliminación total de una página web en los resultados de un motor de búsqueda (desindexación de página).

¿Qué datos proteger?

Ya sea que se recopilen y utilicen a través de una plataforma en línea segura, en Internet o en cualquier otro lugar, todos los datos personales deben beneficiarse de las garantías de protección establecidas por la normativa europea:

Los principios relacionados con la protección de datos deben aplicarse a cualquier información relacionada con una persona física identificada o identificable.

Fuente: Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo sobre el RGPD publicada en el Diario Oficial de la Unión Europea el 27 de abril de 2016.

Ejemplos de datos personales que deben protegerse según el RGPD:

  • Sexo.

  • Edad.

  • Número de teléfono.

  • Dirección de correo electrónico.

  • Salario o remuneración.

  • Fotografía de la cara.

  • Dirección postal.

  • Estado civil.

  • Nombre de usuario y contraseña.

  • Número de tarjeta bancaria.

  • Número de seguro social.

  • Uso de anteojos (y el grado de corrección).

  • Cualquier característica física.

  • Cualquier característica psicológica, etc.

Ejemplos de información confidencial recopilada, por ejemplo, para monitorear o gestionar un lugar abierto al público:

  • Opinión política.

  • Actividad sindical.

  • Creencia religiosa (o agnóstica).

  • Preferencias sexuales.

  • Información médica.

  • Análisis biométricos.

  • Condenas penales.

  • Datos relativos a un menor.

Cualquier recopilación de información destinada a realizar los perfiles de los consumidores también debe ser protegida y estar dentro del marco de transparencia impuesta por la ley:

  • Datos recopilados en internet a través de cookies.

  • Análisis del comportamiento del usuario identificado en el sitio web (datos de comportamiento).

  • Hábitos de consumo en línea y fuera de línea.

  • Práctica de retargeting publicitario.

  • Metadatos relacionados con un individuo.

Empresas concernidas

Poco importa la ubicación geográfica, cualquier empresa se ve afectada por el RGPD a partir del momento en que procesa los datos personales de un residente europeo.

La ley no distingue entre una empresa que opera en Europa y una empresa establecida fuera de la zona europea que recopila y procesa los datos de un ciudadano europeo o de un ciudadano extranjero residente en Europa.

¿Mi empresa se ve afectada por el RGPD?

Tu organización debe estar conforme al nuevo reglamento si en el ejercicio de su actividad utiliza al menos una de las siguientes palabras: prospecto, cliente, empleado, colega, paciente, contribuyente, ciudadano, usuario, utilizador, miembro, donante.

  • ¿Gestionas los datos desde un software CRM, una plataforma en línea, un archivo?

  • ¿Recopilas, procesas y utilizas datos privados de ciudadanos europeos?

Como el objetivo del RGPD es proteger al ciudadano, ¡hay un 99.9% de posibilidades de que tu empresa se vea afectada!

El Reglamento Europeo para la protección de datos se aplica a las siguientes empresas y organizaciones:

  • Pymes,
  • Autoridades locales, administraciones.

  • Empresas (gerentes de recursos humanos, responsables del procesamiento de datos de clientes).

  • Asociaciones (profesionales, políticas, religiosas, etc.).

  • Hospitales y profesionales de la medicina.

  • El responsable del alojamiento de un sitio web.

  • Empresas de backup en la nube.

  • Servicios de almacenamiento de datos.

  • Editores de software o de sistemas informáticos instalados en empresas.

Los actores responsables de la protección

La ley especifica que todas las empresas que actúan en una u otra etapa del procesamiento de datos son responsables de su protección.

La autoridad de control ​​en España es la AEPD o Agencia Española para la protección de datos. Este organismo emite certificaciones, lleva a cabo controles e impone sanciones a las empresas en caso de incumplimiento de la normativa.

Estos son los principales actores en el cumplimiento del RGPD: 

  • La empresa que utiliza datos personales: los responsables y encargados del procesamiento deben adoptar un código de conducta transparente, implementar procedimientos conformes y proporcionar evidencia documental en caso de una inspección.

  • El DPO (Data Protection Officer) o delegado para la protección de datos: este experto trabaja para la empresa, su misión es garantizar la mejor protección de datos. Su misión es apoyar a la empresa para que cumpla con el RGPD.

  • Subcontratistas: asume parte de la responsabilidad tan pronto como su actividad está relacionada con el procesamiento de datos; tanto si la sede está en Europa o como en otro lugar del mundo.

4 textos legales del RGPD para tener en cuenta

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo sobre el RGPD se publicó en el Diario Oficial de la Unión Europea el 27 de abril de 2016.

Artículos de la ley orgánica

A través de este aviso legal, la ley orgánica especifica conceptos importantes:

  • El artículo 4 - Principios relacionados con el procesamiento de datos personales: enfatiza en particular los aspectos legales del procesamiento, la relevancia de los datos recopilados en relación con el propósito del uso, así como una conservación razonable de información a lo largo del tiempo (12 meses).

  • El artículo 28 - Consulta previa de la autoridad supervisora: indica que el responsable de los datos debe proporcionar una evaluación de impacto a la autoridad supervisora, previa solicitud. Esta autoridad evalúa las condiciones de protección de datos.

  • El artículo 32 - Nombramiento del Delegado de Protección de Datos: obliga a cualquier empresa a tener un oficial de protección de datos (además del responsable de los datos) con experiencia en asuntos técnicos y legales, capaz de rendir cuenta a la autoridad supervisora ​​de la que depende.

  • El artículo 37 - Transferencias con las garantías apropiadas: subraya que la transferencia de datos personales a un país fuera de la Unión Europea somete al controlador a informar a la autoridad supervisora ​​y a poner a su disposición documentación que especifique las "garantías apropiadas" en materia de protección de datos.

Acciones y documentos obligatorios

Estos extractos de la regulación europea reflejan parte de las nuevas obligaciones de la empresa responsable del procesamiento.

Esta nueva regulación responsabiliza a la empresa: se convierte en la responsable de los datos y debe proporcionar pruebas del cumplimiento de la documentación.

Este principio se conoce como Accountability.

Estas son las principales obligaciones que deben cumplirse y documentarse para cumplir con el RGPD:

  • Mantener un registro del tratamiento de los datos que comprenda: los responsables, la naturaleza de los datos, los propósitos, una clasificación del procesamiento, la duración del almacenamiento, el flujo y la transferencia de datos geográficos para establecer la trazabilidad de los datos.

  • Realizar un análisis relativo a la protección de datos (PIA - Privacy Impact Assessment): este estudio integral permite identificar los riesgos de pérdida o fuga de datos, sus causas, enumerar los medios técnicos y las soluciones necesarias para la protección y la seguridad.

  • Implementar procedimientos internos: educa a los empleados y establece las mejores prácticas, implementa todos los procesos obligatorios que permitan al propietario de los datos ejercer sus derechos (rectificación, portabilidad, eliminación, etc.).

  • Implementar las tecnologías que garantizan la confidencialidad y la seguridad de los datos: se requiere detallar por escrito todos los procedimientos, y se recomienda encarecidamente integrar un alto nivel de seguridad y confidencialidad al diseñar un procesamiento y tecnología vinculada, este enfoque se llama Privacy by Design (protección de la privacidad desde el diseño).

  • Supervisar la transferencia de datos fuera de la Unión Europea: verifica los contratos con subcontratistas y proveedores, asegúrate de que cumplan con las normas RGPD para evitar cualquier riesgo.

  • Conservar la evidencia del consentimiento del consumidor o usuario.

  • Detallar los procedimientos establecidos en caso de violación de datos: debe notificar al interesado lo antes posible e informar a la autoridad supervisora ​​dentro de las 72 horas.

Sanciones

Sin duda alguna, las multas son elevadas, sin embargo, no debemos olvidar los daños y perjuicios que cada ciudadano puede reclamar: además de la pérdida financiera, las repercusiones en la imagen de la empresa pueden destruir su reputación y afectar su actividad como consecuencia de la pérdida de confianza del cliente.

El importe de las multas

En este caso, la multa puede alcanzar los 10 millones de euros: si la autoridad supervisora ​​determina que la empresa no cumple con las obligaciones como la evaluación de impacto (EIPD) o mantener un registro del tratamiento la empresa en cuestión está sujeta a una multa equivalente al 2% de la facturación anual a nivel mundial.

La multa puede alcanzar hasta los 20 millones de euros: si la autoridad supervisora ​​determina que la empresa no cumple con sus obligaciones según el principio de consentimiento y no respeta los derechos de las personas, la multa puede alcanzar el 4% de la facturación global anual.

Ventajas de la protección de datos RGPD

Los beneficios del RGPD para una empresa u organización son beneficiosos desde numerosas perspectivas.

Una nueva era de confianza

Esta exigencia de seguridad que devuelve el poder al consumidor e inspira confianza:

  • La confianza del consumidor en empresas responsables que respeten los derechos de las personas con respecto a sus datos.

  • La confianza de las empresas entre sí, que ahora se basan en estándares comunes.

Un nuevo contexto favorable para las empresas

La transparencia creará un nuevo clima de confianza propicio para los negocios.

La empresa que asume sus responsabilidades transmite una imagen positiva y atrae la lealtad de sus clientes. Los comportamientos de compra y las opiniones expresadas en la web y las redes sociales guiarán las elecciones hacia las empresas más transparentes y respetuosas.

Las barreras comerciales entre los países de la Unión Europea se reducen debido a las normas comunes para el cumplimiento del tratamiento, (esto también incluye a compañías fuera de la Unión Europea, el tema del RGPD es muy popular en los EE. UU.).

Reducción de costos

¿Cómo lo hacíamos antes del RGPD? Aumentamos nuestros costos para poder cumplir con el respeto de la protección de datos en 28 países (28 leyes diferentes). La normativa estandariza las actividades de tratamiento y racionaliza los recursos y procesos operativos, lo cual se traduce en ahorros presupuestarios.

Marketing más efectivo

Todas las acciones de marketing digital se beneficiarán automáticamente de:

  • Datos personales actualizados.

  • Consentimientos verificados que se traducen en campañas de emailing más eficaces.

  • Centralización de los datos.

Finalmente, el departamento de marketing ahorrará tiempo, refinará la segmentación e implementará mejores campañas para la adquisición de clientes

Herramientas de cumplimiento

Queremos presentarte algunas soluciones para optimizar y automatizar el cumplimiento del RGPD:

Data Privacy Solution

Data Privacy Solution es una solución que ayuda a las empresas con el cumplimiento del RGPD. El software ha sido desarrollado por profesionales expertos en privacidad y protección de datos. 

data-privacy-solution-rgpd

Entre las principales funcionalidades para la adaptación:

  • Gestión documental.

  • EIPD o evaluación de impactos para la protección de datos.

  • Gestión de los derechos de los afectados.

  • Gestión de incidentes y gráficos.

  • Registro de actividades.

Data Privacy Solution también ofrece el servicio de consultoría asistencia legal. 

LOPD manager

LOPD Manager es un software pensado para los profesionales de la protección de datos. La solución se encuentra en línea y ha sido pensada desde una lógica móvil, de este modo los responsables de la protección puedes introducir los datos desde cualquier lugar. 

Entre las principales funcionalidades para la adaptación:

  • Personalización de la herramienta: logos y colores.

  • Gestión documental.

  • Formación continua con respecto a la evolución del RGPD y de la LOPD.

  • Soporte durante la implantación.

  • Implementación de medidas de seguridad.

LOPD manager también brinda soporte legal y jurídico. 

PrivacyPerfect

PrivacyPerfect permite evaluar fácilmente los tratamientos de privacidad y gestionar todas las actividades relacionadas con el tratamiento de los datos.

Entre las principales funcionalidades para la adaptación:

  • Realizar evaluaciones de impacto de protección de datos. 

  • Gestionar el consentimiento de los usuarios.

  • Hacer el análisis de riesgo según el tratamiento.

  • Manejar la infracción e informar en caso de riesgo.

PP ofrece una vista gráfica de actividad del procesamiento de los datos.

Cumplimiento de la normativa para empresas de la nueva era

El RGDP no es solo una medida de control, esta ley también es una oportunidad para ser una empresa transparente y mejorar la imagen de marca. Estamos en una era ética, en donde el consumo de calidad y el respeto por la privacidad son fundamentales. 

Si tu negocio cumple con la normativa, hay menos riesgo de piratería o pérdida de datos. Además, te evitas una sanción que puede ser fatal para la política de la empresa.

También debes tener en cuenta que a pesar de los esfuerzos financieros y organizativos que requiere la adaptación al principio, el retorno de la inversión está garantizado gracias a una recopilación más cuidadosa y mejor focalizada: las newsletters y notificaciones se envían a personas realmente interesadas.

La mejor selección de software para tu negocio

Endpoint Management Suite

Endpoint Management Suite
Software de Gestión de licencias
Visita el sitio web
Ver este software

Dynatrace

Dynatrace
Software de Gestión del Ciclo de Vida
Visita el sitio web
Ver este software

Oracle Database

Oracle Database
Software de Gestión de base de datos
Visita el sitio web
Ver este software
Comentar este artículo

Añadir nuevo comentario