Llevamos meses, semanas, días…. oyendo noticias sobre el nuevo Reglamento General de Protección de Datos de la UE o RGPD (GDPR en ingés), pero… ¿sabemos realmente como deben prepararse las pequeñas empresas que no cuentan con un departamento entero exclusivamente para ello?
Bien, lo primero es que hay demasiado información, así que hemos seleccionado la siguiente información para que conozcas exactamente de lo que estamos hablando. Esperamos aportar un poco de claridad al asunto:
¿Qué es el Reglamento General de Protección de Datos de la UE (RGPD)?
Fue diseñado para unificar las leyes de privacidad de datos en Europa, para proteger y potenciar la privacidad de todos los ciudadanos de la UE y cambiar la forma en que las organizaciones de toda la región abordan la privacidad de los datos.
Además de ser obligatorio para las empresas de la UE, el RGPD también se aplica “fuera de la UE si ofrecen bienes o servicios o supervisan el comportamiento de personas que pertenecen a la Unión Europea”. Es decir, “Se aplica a todas las empresas que procesan y mantienen datos personales de usuarios que residen en la Unión Europea, independientemente de la ubicación de la empresa”.
Las multas van a ser mayores que con la anterior ley, pero solo se aplicarán ante incumplimientos graves del reglamento RGPD. Vamos por partes.
El reglamento RGPD será algo bueno, tanto para los usuarios como para las marcas, porque entre otras cosas va a proteger el “derecho al olvido” , que brinda a los usuarios la posibilidad de poder solicitar acceso a su información personal o que esta sea eliminada.
Mañana día 25 de mayo entra en vigor el RGPD, así que si aún no te has puesto al día te recomendamos que eches un vistazo a este artículo con preguntas y respuestas concretas sobre el nuevo reglamento. Allá vamos:
¿No puedo ignorar la RGPD?
En pocas palabras: NO, no puedes. Un negocio es un negocio, sin importar su tamaño, y estas medidas se aplicarán por igual. Sin embargo, existe una diferencia entre los tipos de obligaciones de mantenimiento de registros entre pequeñas y grandes empresas.
- Si tienes menos de 250 empleados en tu empresa significa que debes tener registros de tus actividades de procesamiento de datos si los datos se relacionan con delitos penales o derechos de privacidad de alguien.
- Con más de 250 empleados debes mantener registros mucho más detallados, pero si eres una empresa pequeña, es posible que tengas que mantener estos archivos si estás tratando con información sensible o personal. Solo está exento si se procesa información personal de residentes de la UE de manera esporádica.
¿Realmente necesito contratar a un empleado que se dedique a la protección de datos de mi empresa?
Posiblemente, todo depende de la cantidad y del tipo de información personal que recopilas, y no del tamaño de tu empresa. Por ejemplo, un grupo de empresas puede contratar a un especialista en protección de datos, siempre que esta persona esté totalmente disponible cuando cualquier organización lo necesite.
¿Y las multas?
Ahora lo importante: las multas. Las multas que pueden imponerse por incumplimiento del RGPD pueden llegar a ser muy altas:
- Para quienes no cumplen con el RGPD, las multas pueden suponer hasta el 2% de la facturación anual de la empresa o 10 millones de euros (el importe que sea mayor).
- Este importe será del 4% de la facturación o 20 millones de euros (el importe que sea mayor) si se violan los datos personales de los usuarios.
Esto de mayor o menor como sabemos es muy relativo, porque para una pequeña empresa el impacto de esta multa podría arruinarle.
Estas multas se aplican solamente ante graves incumplimientos, es decir, están ahí para reflejar la importancia de la privacidad de los datos personales. Además, deben ser “proporcionales” (es decir, si incumple, pero hizo todo lo posible para cumplir con RGPD, no recibirá una multa tan cuantiosa).
¿Qué debo hacer para garantizar el cumplimiento?
La clave de todo esto es tomar las medidas necesarias con tiempo para evitar apuros o problemas de última hora. Si aún no los has hecho te recomendamos dar lo siguientes pasos:
- Localiza, registra y analiza qué tipo de datos personales procesas.
- Es importante que sepas quién puede verlos o quién los comparte.
- Establece un proceso que se ajuste a la regulación del RGPD y que sea transparente para los usuarios que facilitan su información personal, de manera que puedan dar su consentimiento con la información correcta.
- Asegúrate de poder alertar sobre una violación de datos dentro de las 72 horas siguientes a cuando se produce el hecho.
- Asegúrate de que se pueden eliminar, cambiar o transferir los datos personales cuando se solicite, dentro del plazo de un mes..
- Actualiza los avisos legales y la política de proteccion de datos de tu página web.Será de obligado cumplimiento informar a lo usuarios de tu sitio web de manera clara y concisa cómo vas a tratar sus datos personales que recopilará a través de los formularios de contacto, mail u otros medios
- A partir del 25 de mayo se acabó el mandar newsletters sin consentimiento explícito del que lo reciba, es más, tendrás que tener un registro guardado con dicho consentimiento.
Y por último, y lo más importante, contrata a un experto en protección de datos para actualizar toda la documentación de manera correcta.
