RGPD: 6 obligaciones que deberán cumplir todas las empresas antes del 25 de mayo

RGPD: 6 obligaciones que deberán cumplir todas las empresas antes del 25 de mayo

Por Conrado Moreno Bardisa, Socio Director de Bardisa y Asociados

 

El cumplimiento de la protección de datos en empresas es una cuestión que preocupa a muchos empresarios. Sobre todo con la entrada en vigor del nuevo Reglamento Europeo  en 2016 que será aplicable a partir del próximo 25 mayo de 2018. Sólo queda una semana para que sea totalmente obligatoria su aplicación. Si eres empresario o autónomo y recoges datos de usuarios europeos, esta normativa te afecta de lleno.

 

Las modificaciones introducidas por el nuevo Reglamento 2016/679, supondrá que la mayoría de organizaciones que forman parte del tejido empresarial español tendrán que revisar sus procedimientos de actuaciones en materia de protección de datos para adaptarlos a las nuevas exigencias.

Ahora bien, ¿Todas las empresas y organizaciones están obligadas a cumplir con el RGPD?

Estarán obligadas al cumplimiento de la normativa de protección de datos las empresas u organizaciones que:

  • Sean entidades con personalidad jurídica.
  • Por lo general, todas las empresas, asociaciones o fundaciones tratan datos personales relacionados con empleados, proveedores y clientes. Y lo hacen tanto en formato papel como digital.

Por tanto, las empresas que tratan y almacenan datos como encargadas o responsables del tratamiento de los mismos, están obligadas al cumplimiento del RGPD.

Cualquier incumplimiento puede conllevar cuantiosas sanciones, nada deseables para ninguna empresa.

Por esta razón se debe garantizar que la implementación de la protección de datos se haya realizado correctamente. Aquí es donde entra en juego la importancia de elegir a un DPO, encargado de velar por el cumplimiento de la normativa.

Otra de las novedades del Reglamento de Protección de Datos es la obligación de algunas empresas de contratar a un Delegado de Protección de Datos (DPO). ¿Cuáles son las principales obligaciones del RGPD para empresas y organizaciones?

Las obligaciones más importantes de una empresa son las que se derivan del tratamiento de datos. En el tratamiento de datos personales se derivan las siguientes obligaciones que debe cumplir un empresario como Responsable del tratamiento:

1.  Establecer un procedimiento de recogida de datos de los clientes:

La principal obligación que tienen las empresas es recoger el consentimiento expreso, explícito e inequívoco de sus clientes. Es decir, ya no será suficiente con el consentimiento tácito.

Además, se deberá informar sobre los datos del Delegado de Protección de Datos designado (lo veremos en el punto 6 de este artículo). Así como de la finalidad del uso de los mismos como hasta ahora.

2. Nuevos derechos para los usuarios:

Igualmente las empresas informarán en el documento de recogida de datos sobre los derechos ARCO de sus clientes. Estos derechos son:

  • Rectificación.
  • Cancelación.
  • Oposición.
  • Derecho al olvido. Que es la consecuencia del derecho al borrado o una manifestación de los derechos de cancelación u oposición en el entorno online. (Novedad).
  • Limitación del tratamiento (Novedad).
  • Derecho a la portabilidad de datos (Novedad).

El ejercicio de los derechos anteriores será gratuito (con algunas excepciones), debiendo establecerse procedimientos que faciliten de forma visible y accesible el ejercicio de los mismos por parte de sus clientes.

3. Firmar contratos de encargado de tratamiento:

En las relaciones con proveedores, gestorías, informáticos, clientes y empleados en las que tenga lugar la cesión de datos será necesaria la firma de un contrato de encargado del tratamiento.

4. Evaluación de impacto:

La evaluación de impacto se deberá realizar con anterioridad al comienzo del tratamiento de aquellos datos que conlleven un alto riesgo sobre los derechos y libertades fundamentales de los interesados.

5. Notificaciones de las violaciones de seguridad:

Las violaciones de seguridad son conocidas también como “quiebras de seguridad”.

Las quiebras de seguridad incluyen cualquier incidente que provoque una destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

A modo de ejemplo, estamos ante una violación de seguridad cuando perdemos el ordenador portátil o se produce un acceso no autorizado a las bases de datos de la empresa.

En caso de producirse una quiebra de seguridad, entre otras obligaciones, el responsable deberá comunicarlo a la autoridad competente dentro del plazo de 72 horas a ser posible y documentar todas las violaciones de seguridad.

6. Asignación de un Delegado de Protección de Datos (DPO):

El DPO será la persona designada por la empresa para la supervisión de que todos los procesos se están implementando correctamente. En definitiva, que la empresa está cumpliendo con las obligaciones del Reglamento.

Para ello el Delegado de Protección de Datos tendrá los conocimientos jurídicos y técnicos apropiados para garantizar la adecuada aplicación de las medidas técnicas y organizativas conforme al Reglamento.

 

No hay comentarios

Publica un comentario