Después de todas las dudas, las alarmas y los millones de correos que todos hemos recibido de «nueva política de protección de datos» y «necesitamos una acción por tu parte…» seguimos con nuestras vidas. Ya ha pasado el temido 25 de mayo, día del comienzo de cumplimiento obligatorio del nuevo Reglamento Europeo de Protección de Datos (RGPD). Pasada la tormenta, ¿podrías decir que tu empresa está correctamente adaptada a la nueva LOPD?
Parece que por el momento no se ha acabado el mundo y todo sigue su curso, aunque nosotros hemos debido adaptarnos a los nuevos requerimientos del RGPD. Hemos tenido 2 años para hacer los cambios oportunos y, una vez más, las empresas españolas llegamos tarde y lo estamos haciendo con prisas y a salto de mata.
Si aún estás en proceso de adaptación o todavía no has empezado (que siempre nos pilla el toro), tranquilo no van a empezar a caer sanciones del cielo. Estás a tiempo de adaptarte, pero no te duermas. En Comonline queremos explicarte de manera práctica y clara que puntos debes tener en cuenta y cómo las empresas deben adaptarte con éxito a la nueva LOPD.
Revisa que cosas has implementado y cuáles te quedan pendientes para que tu empresa esté adaptada. Si necesitas a un profesional, en Comonline podemos ayudarte en el proceso, tanto en la parte técnica como en la parte legal. Ya que hemos unido nuestros esfuerzos a consultores expertos en LOPD para ofrecer una solución completa.
Índice
Cambios introducidos en la LOPD en 2018 y finalidad
Lo primero que debemos decir es que en esencia no han habido grandes cambios en el RGPDEU, sigue estando prohibido hacer lo que quieras con los datos de los usuarios sin su consentimiento. Lo que cambia es la forma en la que se pide a las empresas que hagan las cosas.
El nuevo reglamento quita la obligación de notificar los ficheros a la Agencia Española de Protección de Datos, lo cambia por un registro de las operaciones de tratamiento de datos que realice la empresa. Ahora eliges tú la forma de proteger los datos, usarlos con responsabilidad y demostrar que sigues unos protocolos y cumples con la ley. También se eliminan los niveles de seguridad de los datos, ahora los datos se clasifican en identificativos y sensibles.
Hoy por hoy, sigue estando en vigor la antigua ley. El RGPD entró en vigor el 25 de mayo de 2016 y su cumplimiento es obligatorio desde el 25 de mayo de 2018. En cuando a la nueva Ley de Protección de datos de nuestro país, ahora mismo sigue siendo un borrador y no tenemos claro cuando entrará en vigor (esperemos que antes de que acabe el año). Aún así el régimen sancionador si está en vigor y las multas nos pueden llegar de todas formas.
El Reglamento de Protección de Datos va dirigido a los responsables o gestores de tratamiento de datos de carácter personal. Cómo te comentamos en nuestro anterior post, «NOVEDADES EN LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PARA 2018», la finalidad principal de la normativa es dar mayor control a los usuarios sobre los datos personales que las empresas guardan de ellos, que sepan de manera clara que hacen las empresas con sus datos. El objetivo es que las empresas aprendan a proteger sus datos de forma activa y tomen la iniciativa en la gestión y organización de los mismos. Tomándose en serio este tema, adoptando medidas preventivas para una mayor seguridad y mejores protocolos de actuación para la guarda y custodia de sus datos y los de sus clientes.
Aspectos a tener en cuenta y primeros pasos
En relación a las medidas a adoptar para cumplir con la ley, hay 2 ámbitos concretos que debemos tener en cuenta: los datos que recoge y gestiona la empresa (los propios de la empresa, los de los clientes, proveedores, empleados, etc.) y las infraestructuras informáticas y técnicas con las que trabaja (ordenadores, soportes en los que se guarda la información, servidores, móviles, correos, oficina física, etc.).
Frente a esto debemos trabajar en paralelo en dos direcciones. Por un lado en cómo recogemos esos datos desde la primera puerta de entrada, cómo se los pedimos a los usuarios, que información previa les damos, cómo explicamos la gestión y uso que vamos a hacer, donde los guardamos una vez recogidos y que acciones hacemos con ellos.
Por otro lado debemos trabajar la gestión de nuestros equipos humanos e informáticos, los protocolos de seguridad y la organización de la empresa alrededor del almacenamiento y conservación de datos. Quién tiene acceso a ellos, contratos con proveedores y clientes, equipos informáticos, si se guardan físicamente, copias de seguridad, qué pasa si perdemos datos, nos los roban o no se actualizan, etc.
Recogida de datos y comunicación con el usuario
Comunica a todos tus usuarios claramente a qué te dedicas, que servicios ofreces, cómo vas a recoger sus datos y para que los vas a usar. Tanto en los textos legales como en la totalidad de tu web o resto de canales de comunicación. Analiza que hay en tu web y adáptalo a la nueva norma. ¿A quién estamos comunicando datos?
El usuario deberá dar su consentimiento de forma expresa para el uso de sus datos
Empecemos por lo más fácil de implementar, adaptar tus formularios y resto de canales de contacto a la nueva normativa. Para que puedas hacer uso de sus datos, el usuario debe haber dado su consentimiento expreso, con una acción positiva y expresa. Ya no vale el consentimiento por omisión.
Por tanto, en todos tus formularios de recogida de datos debes poner tantas casillas de aceptación como acciones vayas a realizar con los datos de los usuarios. Estas casillas deben dejar claro la finalidad de uso de esos datos. Incluye una primera casilla de aceptación de términos legales y después puedes poner, por ejemplo, otra de aceptación de información comercial, cesión de datos a terceros, etc, (debes añadirlas si piensas usar los datos proporcionados para ese fin).
No vale solo con incluir las casillas en el formulario, esos datos y la confirmación de esas casillas se deben recoger en algún sitio a través del cuál puedas verificar que la persona te ha dado el consentimiento expreso. Puedes usar un módulo, plugin, CRM (algún soporte que recopile todos los datos recogidos y la aceptación). Aunque el tratamiento de los datos debe basarse en el consentimiento del usuario, existen otras bases de legitimación para poder comunicarte con él, como interés legítimo o ejecución de un contrato. Por tanto, también valdrá si hay un interés legítimo por parte del que trata esos datos a la hora de utilizarlos.
Si tienes ya una BBDD de usuarios, ¿qué debes hacer?
Muchos de nosotros ya tenemos una base de datos con la que trabajamos y que nos ha costado mucho recabar, más aún si lo hemos hecho como toca. ¿Qué hacemos ahora con eso? Pues fácil, si en su momento recogiste estos datos conforme marcaba la ley vigente y tienes el consentimiento de los usuarios para mandar información y una forma de demostrarlo o una relación contractual, puedes seguir haciéndolo.
Si en su día no lo hiciste bien y digamos que usaste «traspaso de datos» sin tener consentimiento para mandar comunicaciones de la empresa, no deberías mandar ningún tipo de correo. Si aún así quieres utilizar esa base de datos, pide consentimiento expreso a esos usuarios y a partir de ahora comunícate solo con aquellos que te lo den.
Adapta tus textos legales y añade las cláusulas de la nueva normativa LOPD
Lo primero que destaca la nueva LOPD es que el lenguaje con el que se redacten los textos legales sea claro y fácil de entender para el usuario. La finalidad de uso de los datos, la procedencia legal de los mismos, el período de retención de dichos datos, su responsable de tratamiento, etc. Todo esto es lo que deberemos incluir de forma clara y fácil de entender para el usuario.
Ordena la información por Capas
Introduce una primera capa informativa justo debajo de los formularios. En esta 1ª capa explica los aspectos más importantes sobre el tratamiento de la información. Después tienes que tener una 2ª capa que complete esa información, lo que en la práctica son los textos legales (las páginas de política de privacidad, aviso legal, etc.). Además, la primera capa deberá enlazar con la segunda.
Derecho al olvido y Derecho a la portabilidad
Dos nuevos conceptos que se introducen en la nueva normativa para sumarse a los derechos de rectificación, acceso, cancelación u oposición.
Derecho al olvido: los usuarios pueden pedir a las empresas y los organismos que supriman sus datos en ciertas circunstancias. Cuando se haya recogido de forma ilícita, si ya no son útiles para su finalidad o se ha retirado su aceptación.
Derecho a la portabilidad: el usuario puede pedir a la persona responsable de la gestión de datos que le mande sus datos en un formato válido para trasladarlos a otro responsable.
Archivo y registro de cómo se gestiona la información en la empresa – Protocolo de Seguridad
En este punto lo que debemos hacer es crear un archivo interno y ciertos protocolos de seguridad en los que dejemos especificado como se organiza nuestra empresa. Debemos documentar cómo se realiza la gestión de datos, donde se guardan, quién tiene acceso a ellos… Además, tenemos que establecer relaciones con terceros que colaboran con nosotros (colaboradores, clientes, usuarios, proveedores, trabajadores) mediante diferentes contratos en los que se determine como se lleva a cabo nuestra relación, a qué datos tenemos y tienen acceso, que se va a hacer con esos datos, que datos se comparten o se pueden ceder, si somos o no responsables de esos datos, hasta donde llega nuestra gestión…
Informar a nuestros clientes sobre el tratamiento que haremos de sus datos a través de un anexo en el contrato y tener un contrato de encargado de tratamiento con nuestros colaboradores es un ejemplo de acciones a realizar. Establecer nuestra política de seguridad y crear un documento para ello (protocolo de seguridad) también es aconsejable. Además de trabajar con los programas y procedimientos técnicos que usamos en la empresa.
Para este punto nosotros aconsejamos pedir ayuda a un consultor experto en protección de datos, ya que dependiendo de la magnitud de la empresa y el tipo de información que se gestione los procedimientos serás más sencillos o más complejos. Para hacer las cosas bien lo ideal es contar con un profesional que nos ayude en toda la adaptación.
Delegado de Protección de Datos
Es la figura que deberá asegurarse de que se cumpla con la normativa, gestionará los procesos y todo lo relacionado con la LOPD, además servirá de enlace entre la empresa, las autoridades y externos. Un cargo que es obligatorio para organismos y entidades públicas y para cualquier organización (ya sea pública o privada) que trate datos a gran escala o datos sensibles (especialmente protegidos). Además, para aquellas empresas con más de 250 empleados es obligatorio tener internamente el registro de actividades de tratamiento de datos.
Para empresas que recogen datos básicos o menos delicados no es obligatoria esta figura pero si interesante que alguien del equipo ocupe este rol. Esta persona debe centralizar todo lo relacionado con la gestión de datos, ya que así será mucho más sencillo el proceso.
Conclusión de la gestión de la LOPD y RGPD
Después de todo lo dicho estos meses y la gran cantidad de informaciones y noticias cruzadas, ¿te has planteado lo que ocurriría si pierdes la información de tus clientes o de tu empresa?
Con el avance de las nuevas tecnologías también aumenta la brecha digital. Las empresas están expuestas a amenazas en seguridad digital y, precisamente por eso, esta ley pretende prevenir y cubrir estos agujeros de seguridad, protegiendo en primer término a los usuarios. Tenemos que ser conscientes de la importancia de los datos con los que trabajamos.
En resumen, como empresa debemos ser proactivos (y no reactivos) frente a la protección de datos y la seguridad de los mismos. Si no tomamos medidas de prevención poco podremos hacer cuando ocurra el problema. Esto es una tarea más compleja y técnica de lo que parece, que lleva un proceso de trabajo y ejecución arduo y confluye muchas leyes. Para cumplir como es debido no vale solo con copiar y pegar 4 textos y cambiar formularios. Creemos imprescindible contar con la ayuda de profesionales expertos en la materia, tanto en la parte legal y jurídica como en la parte técnica, que nos ayudarán a adaptarnos de manera correcta. Si necesitas ayuda para adaptar tu web y tu empresa a la normativa, contacta con nosotros.