El Reglamento General de Protección de Datos (RGPD o GDPR siglas en inglés) entrará en vigor en mayo de 2018. Este nuevo reglamento de la Comisión Europea pretende estandarizar y mejorar la protección de datos en los Estados miembro de la UE. Un objetivo que se llevará a cabo exigiendo a las empresas que cumplan con estrictos procedimientos y normas en relación a los datos que poseen y a la manera en la que los gestionan. El cumplimiento de este reglamento será, por tanto, vital para todas aquellas empresas que operan en la UE, no únicamente para las que tienen su sede dentro del mercado común de la Unión. La protección de datos es cada vez más relevante, por ello, es de gran importancia una homogenización del reglamento en este ámbito, ya que la cooperación internacional y globalizada se ha convertido en la norma. Por ello, garantizar que tu empresa cumpla con estas políticas no es solo una necesidad legal, sino también un paso importante para fomentar la confianza del cliente. Al igual que muchos aspectos de la gestión de la relación con tus clientes, la protección de datos requiere transparencia y acciones positivas en nombre de tu empresa.
Lista de medidas para que tu negocio esté listo de cara al GDPR:
Existe una serie de pasos que debes considerar para garantizar que tu negocio cumpla con este nuevo reglamento y para que, de esta forma, la transición sea lo más fluida posible para tus clientes. La siguiente lista de medidas ha sido elaborada a partir de la creada por la Agencia Española de Protección de Datos.
1. Conciénciate
No hace falta decir que el primer paso para preparar a tu empresa de cara a esta transición es garantizar que la persona adecuada sea consciente de los cambios que se le avecinan. Es crucial que los responsables en tomar decisiones y los actores clave evalúen los cambios que pueden necesitarse y cómo éstos afectarán a sus responsabilidades. Cuanto mayor sea tu organización, mayores pueden ser las implicaciones cuando se trata de garantizar una transición fluida.
2. Información almacenada
Evalúa qué información almacena tu empresa y dónde lo hace. Para cumplir con este reglamento, necesitarás contar con un registro claro de la información que posees sobre el cliente. El GDPR otorga más derechos a las empresas con las que se comparte información. Si con posterioridad se descubre que la información que has compartido con una empresa es inexacta, se te pedirá que se lo notifiques a dicha empresa. A raíz de la responsabilidad generada por la información que almacenas y según la proceses, en toda tu organización serán necesarios procedimientos claros y políticas relativas a la gestión y almacenamiento de datos de carácter personal.
3. Revisión del acuerdo de privacidad
Para generar transparencia y fomentar la confianza del cliente, este reglamento requiere que te asegures de que tus clientes son conscientes de cómo se procesa y maneja la información que tienes de ellos. Es imprescindible por ello que tu empresa revise los acuerdos de privacidad y las cláusulas que comparte con los clientes; estas tendrán que ser actualizadas para adaptarse a cualquier cambio que exija el cumplimiento del GDPR.
4. Cumplimiento de los derechos de las personas
Uno de los objetivos principales del GDPR es mejorar los derechos de las personas en relación a la información que se almacena sobre estas. La creación de una legislación homogénea en la UE garantiza que cada persona pueda confiar en esos derechos en cualquiera de las diferentes jurisdicciones. Tu empresa debe asegurarse de que los actores clave y los responsables en la toma de decisiones sean conscientes de esa mejora en los derechos de las personas que promueve el GDPR y que, además, estén preparados para defender dichos derechos. Los aspectos fundamentales que pueden requerir un cambio en el procesamiento de datos son:
- El derecho de eliminación. Que una persona pueda solicitar que sus datos sean borrados de tu sistema, esencialmente para ser ‘olvidada’.
- El derecho a la portabilidad de datos. Esto otorga a cualquiera el derecho de solicitar una copia de los datos almacenados sobre su persona, y no solo para uso particular, sino también para poder proporcionárselos a otra organización. Esto, por tanto, tiene una trascendencia en el formato en el que esa información se proporciona.
5. Acceso del sujeto
Evalúa la trascendencia del cambio en las nuevas reglas de acceso para el sujeto. El plazo de respuesta para tu empresa es de un mes, de modo que es importante que los procedimientos que lleves a cabo sean capaces de cumplir con dicho plazo.
6. Fundamento jurídico
Tu organización debe conocer el fundamento jurídico con el que procesar la información. Ya sea, por ejemplo, mediante consentimiento o por necesidad contractual, esto afectará a la manera en la que los datos personales puedan ser procesados o utilizados. Identificar adecuadamente el fundamento jurídico para la utilización de datos te será de ayuda para promover y garantizar la responsabilidad.
7. Gestión del consentimiento
Para que se considere válido, la formulación del consentimiento, que será explícitamente buscado y otorgado, ha de ser específica e inequívoca. Esto permitirá a tus clientes contar con la confianza de saber que la información que han proporcionado solo se usará de la forma en la que se les ha notificado. Esta transparencia genera confianza y satisfacción del cliente.
8. Menores
El GDPR hace especial hincapié en el uso adecuado de los datos de los menores. Si tu empresa almacena datos de personas menores de 16 años, es importante que se tenga especial cuidado en que los procedimientos cumplan exhaustivamente la normativa. Algunos aspectos que podrían requerir una atención especial son, por un lado, el requerimiento de un consentimiento paternal o del tutor legal para el uso de los datos personales del menor o, por otro lado, que el lenguaje empleado a la hora de comunicarse sea de fácil comprensión.
9. Procedimientos de infracción
Todas las empresas sujetas al GDPR deben contar con los procedimientos y protocolos adecuados para ayudar a identificar y a hacer frente a cualquier infracción del reglamento sobre datos personales. Estos procedimientos deben incluir instrucciones sobre quién debe ser informado y sobre cómo actuar en caso de que cualquier incumplimiento o infracción diera lugar a un riesgo para los derechos y las libertades de los individuos.
10. Privacy by design y Evaluación de impacto
Puede ser que las evaluaciones de impacto privadas sean ya parte de los procedimientos habituales de tu empresa, ya que son tenidas por lo general como buenas prácticas. El GDPR, sin embargo, las regla aquí como un requisito estableciendo que las ‘Evaluaciones de impacto en la protección de datos’ (DPIAs, por sus siglas en inglés: Data Protection Impact Assessments) deben llevarse a cabo en determinadas circunstancias. Los responsables en la toma de decisiones deben estar familiarizados con estas circunstancias. De este modo, deben ponerse en marcha ciertos procedimientos para el adecuado desarrollo y documentación de estas evaluaciones.
11. Delegados de Protección de Datos (DPOs)
A tu empresa, de acuerdo con el GDPR, se le puede pedir que designe explícitamente un Delegado de Protección de Datos (DPO, por sus siglas en inglés: Data Protection Officer). Esta persona, a la que se puede nombrar de forma externa o interna, debe tener el conocimiento, los recursos y las herramientas adecuadas para asumir la responsabilidad de que la empresa cumpla con la ley de protección de datos. Incluso si tu empresa no está incluida en la categoría de aquellas que deben tener un DPO, puedes nombrar a alguien para asegurarte de que el GDPR se cumple de manera apropiada. Esto ayudará a tu empresa a fomentar adecuadamente el procesamiento de datos personales.
12. Elementos transfronterizos
Si tu empresa opera en más de uno de los Estados miembro o realiza negocios a través de las fronteras de la UE, es importante identificar su ‘sede principal’ o base central de operaciones. De esta manera se establecerá ante qué autoridad gubernamental deberá responder en primera línea. Dado que se trata de un reglamento de la UE, el GDPR se aplicará con ligeras diferencias entre un Estado y otro. Por tanto, es fundamental conocer lo que la aplicación específica supondrá a tu empresa. Si sigues la lista de medidas aquí enunciada, tendrás la tranquilidad de que tu negocio cumple el reglamento y que, por lo tanto, estás proporcionando a tus clientes el más alto nivel en protección de datos. La sensibilización en cuestiones de privacidad y protección de datos es fundamental dentro de las organizaciones que manejan la información del cliente. Los parámetros y procedimientos que quedan claramente definidos permiten a tu equipo trabajar con confianza en el mercado competitivo. Por ello, un compromiso visible con este reglamento, expresado claramente en un lenguaje comprensible, aumentará también la confianza del cliente en tu negocio al hacer gala de tu transparencia.