Durante muchos años, y debido al auge de las nuevas tecnologías desde hace un tiempo, nuestros datos personales se han visto vagando por la red sin control alguno. Por ello, se decidió concretar una regulación de protección de los mismos (RGPD).
Este nuevo reglamento intenta ofrecer un mayor control a los usuarios sobre sus propios datos. La norma europea ha incluido algunos cambios y novedades que debes conocer para tener en funcionamiento la web de tu negocio sin que ocurra ningún contratiempo por motivos de seguridad. En España, su aplicación se ha realizado mediante la LOPDGDD.
Por ello, si eres una empresa, entidad pública o un profesional que maneja datos de terceros, estás obligado a cumplirlo. Descubre cómo hacerlo y no te dejes nada en el tintero.
RGPD: consentimiento de los usuarios
Anteriormente al reglamento, si un usuario te facilitaba sus datos se entendía que también te otorgaba el consentimiento para tratarlos. Esto ahora ha cambiado.
De acuerdo al RGPD, todos los usuarios deben darte de forma clara y no tácita su consentimiento para que puedas tratarlos. Es decir, debe tratarse de un consentimiento expreso. Además, los datos no se pueden emplear con cualquier finalidad, sino para los que estos han dado expresamente su beneplácito.
En el caso de que vayas a emplearlos con otras finalidades diferentes, debes tener el consentimiento en todo caso. Para ello se puede usar casillas de confirmación, aunque no sirven las premarcadas ni la inacción como parte del consentimiento.
Obligación de informar
En el momento anterior a solicitar los datos personales de los usuarios, con motivo del RGPD ahora es obligatorio informarles de una serie de cosas que antes no lo era.
Por ejemplo, debes informar de tu identidad y datos de contacto y también de los del delegado de protección de datos si lo tuvieras. Debes explicar por qué requieres esos datos y para qué vas a utilizarlo. Además, debes aclarar quién tendrá acceso a los mismos, si vas a transferirlos y el plazo de conservación. También informar de los derechos que corresponden a los usuarios y qué ocurre si no facilitan sus datos.
Toda esta información se debe facilitar por escrito y de forma clara. Debe contenerse en un documento donde le solicites el consentimiento al usuario. También incluirse en los emails y las facturas emitidas.
Nombrar Delegado de Protección de Datos (DPD)
Con el nuevo RGPD también damos la bienvenida a una nueva figura en el Tratamiento de datos: el Delegado de Protección de Datos.
Este delegado es la persona que va a supervisar el cumplimiento de esta nueva normativa de protección de datos. También será el encargado de asesorarte en todas las cuestiones relacionadas con este tema. Si sufres una inspección de la AEPD es el intermediario.
Infórmate porque solo algunas empresas están obligadas a contratar un delegado, y no todas.
Firmar contrato con Encargados de Tratamiento
Se denominan encargados de tratamiento a aquellos terceros que te prestan algún servicio y, por tanto, acceden a datos personales que tú manejas, tanto de clientes como de empleados.
Estos pueden ser, por ejemplo, una gestoría que te lleve los temas legales o también los informáticos encargados de realizar el mantenimiento de los equipos. Con ellos debes firmar un documento para cubrirte las espaldas.
Un consejo es que comiences a firmar ese documento con todos los terceros que te prestan servicios. También que revises lo que ya tienes por si no cumplen con los requisitos del RGPD.
Contrato de confidencialidad con empleados
Los empleados suelen tener acceso a toda la información que maneja una empresa. Y es algo normal.
Sin embargo, para cumplir con el RGPD es necesario que firmen un contrato de confidencialidad para evitar que los datos personales conocidos a través de ti sean revelados a personas no autorizadas.
También, los empleados están obligados a observar las medidas de seguridad que tienen la empresa para garantizar la protección de los datos. Es bueno comprobar que tienes firmado ese acuerdo de confidencialidad con tus trabajadores.
Registro de actividades y análisis de riesgo
El registro de actividades es un documento en el que debes reflejar qué tipo de datos manejas y en qué cantidad. Es un registro que debes mantener siempre actualizado.
En él puedes incluir cuestiones como el tipo de datos que recoges; la finalidad; dónde los guardas; si los cedes; y los medios del tratamiento.
También debes realizar un análisis de riesgos. Es decir, un informe donde tengas en cuenta los riesgos que pueden existir sobre los datos que manejas. Estos se intentarán evitar gracias a unas medidas de seguridad.
Notificar brechas de seguridad y evaluar el impacto
Según el RGPD tienes la obligación de notificar a cualquier afectado y a la AEPD de las violaciones de seguridad de los datos que se produzcan.
Para ello, cuentas con un plazo de 72 horas, por lo que es importante estar prevenido. Algunas medidas de seguridad son guardar los datos que tengas en papel en archivadores bajo llave. Los guardados en sistemas informáticos deben estar siempre con contraseñas y antivirus.
Si el tratamiento de los datos entraña un riesgo alto para los derechos y libertades del usuario, debes realizar una evaluación de impacto. Es decir, un informe donde se indican los riesgos y las medidas para evitarlos.
Privacidad desde el diseño y página web
La privacidad desde el diseño significa que debes tener en cuenta cómo vas a proteger los datos desde antes de iniciar su tratamiento.
Para ello, debes adoptar medidas que garanticen que se traten solo los datos necesarios para la finalidad para la que han sido solicitados; que se conservarán durante un plazo previsto; y que tan solo podrán acceder a los mismos las personas autorizadas.
En cuanto a la web, debe contar en cualquier caso con los tres apartados obligatorios donde se informa al usuario de qué ocurrirá con los datos introducidos en la misma, su finalidad, etc. Estos son el Aviso Legal; la Política de Privacidad; y la Política de Cookies.
