La entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea en mayo de 2018 permitió a los ciudadanos tener un mayor control sobre sus datos y a las empresas beneficiarse en igualdad de condiciones del tratamiento de los mismos. La aplicación del RGPD para pymes corrobora que toda empresa en el ámbito de la UE está sujeta a dicha normativa, independientemente de su tamaño.
Ahora bien, ¿qué tanto afecta el mencionado instrumento legal a las compañías medianas y pequeñas, así como a las microempresas y a los autónomos? ¿Qué deben hacer las pymes para cumplir con la normativa? Precisamente, eso es lo que trataremos de responder en este artículo.
Lo esencial del RGPD para pymes y otras empresas
En principio, el objetivo del RGPD es mejorar sustancialmente las prácticas y condiciones de la protección de los datos de los ciudadanos de la UE. Con este propósito, la normativa incrementa las obligaciones de las empresas y organizaciones responsables de la recopilación y tratamiento de dichos datos. Cabe destacar que el referido texto legal tiene como precedente la Directiva Europea de 1995 sobre privacidad y seguridad de datos. De esta toma buena parte de sus disposiciones. No obstante, contiene nuevas ordenanzas que refuerzan los derechos de las personas y añaden sanciones más severas para los infractores.
Por supuesto, la aplicación de las nuevas obligaciones incluidas depende, en buena parte, del tamaño y tipo de organización. Al igual que del uso que esta haga de los datos personales de quienes tenga como contactos. Aunque esto no quiere decir que el RGPD para pymes sea menos exigente. Como veremos más adelante, las compañías con menos de 250 empleados y hasta los autónomos también deben tomar medidas pertinentes para cumplir la normativa.
Los rasgos más importantes del RGPD para pymes
Sin duda, el rasgo más innovador del RGPD es la incorporación del principio de responsabilidad proactiva, que exige a las organizaciones analizar los datos que tratan. En concreto, saber de qué tipo son, con qué finalidad hacen su tratamiento y que actividades realizan con los mismos. En otras palabras, la normativa que analizamos requiere de las compañías una gestión más consciente y proactiva de los datos que captan y tratan.
Este enfoque responsable considera hasta qué punto el tratamiento de los datos puede poner en riesgo la libertad y los derechos de las personas que confían su información personal a las empresas.
Otros puntos claves del RGPD para pymes son:
Consentimiento explícito
En efecto, otro aspecto relevante del RGPD es el deber de exponer de forma accesible y detallada cómo utilizarán las organizaciones los datos personales proporcionados. En la misma línea, es imprescindible que el usuario dé su consentimiento expreso para el tratamiento de datos y no asumirlo por su inacción como se hacía hace poco (Artículo 4.11). Más aún, esto debe ser demostrable, de acuerdo con el artículo 7 del Reglamento.
Como quizás te has dado cuenta, prácticamente ya no existen páginas web en España con el antiguo aviso de uso de cookies. Ese que daba por sentado que aceptabas su uso si continuabas navegando en el site.
Más derechos para los usuarios en el RGPD para pymes
El derecho a la rectificación de los datos, a la supresión de los mismos (“derecho al olvido”), limitación del tratamiento y a la portabilidad de los datos, son parte de las prerrogativas del usuario consagradas en el instrumento. Las mismas están expuestas en los artículos 16, 17, 18 y 20, respectivamente.
Definición de datos
Otro elemento importante del Reglamento que nos atañe es la ampliación de la definición de “datos personales” y “datos confidenciales”. En estos últimos incluye los datos genéticos y biométricos (Artículos 4.13 y 4.14).
Seguridad del tratamiento y evaluación del impacto
En su artículo 32, el RGPD obliga al responsable y encargado del tratamiento de datos a tomar “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…” que dicho tratamiento implique. Para ello, considerarán:
(…) el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas (…)
Aparte de lo anterior, estos mismos actores están obligados a comunicar cualquier violación de la seguridad de los datos. Esta información debe suministrarse tanto a la autoridad de control como a los usuarios que consintieron el tratamiento (Artículos 33 y 34).
Asimismo, el responsable del tratamiento debe realizar una evaluación del impacto de las operaciones de tratamiento en la seguridad de los datos gestionados. En concreto, cuando entrañe algún riesgo si en el mismo se emplea una nueva tecnología como Big Data. O bien, “… por su naturaleza, alcance, contexto o fines…”.
RGPD para pymes, ¿qué deben hacer las empresas para cumplir la normativa?
Para adaptarse al RGPD para pymes, tu empresa debe cumplir con los derechos de los usuarios y las condiciones del Reglamento, arriba expresadas. Pero, además, deberás tomar algunas medidas como:
Adaptación de la página web al RGPD
Toda página web comercial o no comercial que recoja datos personales mediante campos de formulario debe ser compatible con el RGPD. Esto implica replantear todos los formularios utilizados, sean de:
- Contacto.
- Registro (para blogs, ecommerce, u otros).
- Datos de pedido para comercio electrónico.
- Suscripción a la newsletter.
- Comentarios de posts.
Registro de datos en el ERP
Esto es todo un desafío, teniendo en cuenta la enorme cantidad de campos con datos personales que puede tener una solución de ERP.
Para que tu ERP cumpla con el RGPD, debe incluir un indicativo en todos los campos de la base de datos que contengan datos personales. Por igual, esto aplica a las categorías especiales de datos personales que coincidan con las definiciones expresadas en el Reglamento. Además, también deben incluir herramientas para analizar dicha información.
Nombramiento de un Delegado de Protección de Datos (DPO)
Las organizaciones profesionales, las instituciones educativas, las empresas de red, los proveedores de SSI, las entidades financieras, las compañías de seguros, las bolsas de valores, los centros de salud, las empresas de la industria del juego, las agencias de seguridad privada y las federaciones deportivas son ejemplos de los tipos de entidades que están sujetos a este requisito. En línea con el Artículo 39, este cargo tendrá entre otras funciones:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados involucrados sobre las obligaciones previstas en el Reglamento.
- Monitorizar el cumplimiento de las disposiciones del RGPD y de otras normativas de protección de datos.
- Proporcionar el asesoramiento que le soliciten en torno a la evaluación de impacto del tratamiento de datos.
- Cooperar con la autoridad de control.
Al respecto, el Artículo 37.6 expresa que el DPO “… podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios”. Es decir, que puede ser un asesor externo.
Legal Veritas te asesora en el cumplimiento del RGPD para pymes
En Legal Veritas te brindamos un completo asesoramiento en materia de protección de datos, además servicios específicos como:
- Adaptación de tu página web o de ecommerce a lo dispuesto en el RGPD y otras normativas (LOPDGDD y LSSI CE). En particular, en cuanto al consentimiento de uso de cookies y los avisos legales correspondientes.
- Análisis de vulnerabilidades y hacking ético.
- Análisis y borrado de metadatos web.
- Evaluación de impacto y análisis de riesgo del tratamiento de datos.
- Asignación de un Delegado de Protección de Datos externo.
- Diseño y desarrollo web.
¡Consúltanos y asegúrate de cumplir con el RGPD para pymes!
Deja una respuesta