Dudas habituales para la adaptación de las empresas
Por Laura Saiz
Fuente: Expansión
Aunque el Reglamento General de Protección de Datos (RGPD) se aprobó en mayo de 2016, ahora es cuando los bufetes especializados están recibiendo un aluvión de dudas sobre cómo debe estar preparada una empresa para cumplir con la nueva normativa.
Life Abogados ha recabado las 10 preguntas más frecuentes que están haciendo las compañías a la hora de adaptarse al nuevo marco normativo, que contiene obligaciones que no existían hasta la fecha. No en vano, las firmas que no cumplan antes del 25 de mayo se arriesgarán a multas de hasta 20 millones de euros o el 4% de la cifra de negocio global (hasta ahora el máximo llegaba a 600.000 euros).
¿Le afecta la nueva norma a una empresa con pocos trabajadores que no trata con consumidores finales?
Sí afecta. Cualquier empresa u organización que trate datos de carácter personal (de sus empleados, de sus clientes, de sus proveedores, etcétera) tiene que cumplir el nuevo reglamento con independencia de su tamaño o del volumen de datos que maneje.
¿Sirve una auditoría previa en protección de datos?
Sí, pero no es suficiente. Está claro que si una compañía ya tiene una política de protección de datos es un buen punto de partida, pero debe tener en cuenta que el RGPD establece nuevas obligaciones. Por eso, tendrá que revisarla y adecuar las políticas de privacidad a la nueva normativa.
¿Qué pasa con las firmas que prestan servicios a terceros?
Hay que cumplir la norma igualmente porque manejan datos sobre clientes. A la hora de elegir proveedores, las empresas buscan marcas de confianza que cumplan con la ley porque, de lo contrario, se enfrentan a sanciones millonarias. Por eso, deberán estar en condiciones de acreditar y garantizar ante los clientes que toda la cadena se ha adaptado y cumple con esta norma.
La sede está fuera de la UE, pero hay ventas online en Europa
Una de las novedades más destacadas del RGPD es que, a partir del 25 de mayo, todas las empresas que ofrezcan bienes y servicios y manejen datos de ciudadanos de la Unión Europea deberán someterse al reglamento, aunque la sede esté fuera.
La empresa tiene delegaciones en varios países que comparten información. ¿Se está saltando la ley?
Depende, ya que habrá que analizar y verificar si, entre otros asuntos, la compañía cuenta con el consentimiento expreso del interesado para transferir sus datos; se ha informado de los riesgos que implica transferir los datos a un país que no cuenta con las garantías europeas; o existe un contrato entre la empresa y el titular de los datos.
¿Qué es el principio de responsabilidad proactiva?
Básicamente, significa que es la propia empresa la que tiene que decidir qué protocolos de seguridad pone en marcha para proteger los datos y la privacidad de las personas. Además, debe ser capaz de demostrar que esas medidas son eficaces y cumplen con el reglamento.
¿Qué pasa con los datos personales?
La nueva normativa exige que no se acumulen datos porque sí, sino que sólo se trate aquella información personal necesaria. Además, el uso de esos datos tiene que evitar pisar derechos o libertades de sus titulares.
¿Se puede seguir usando una base de datos y mandar publicidad?
Hay que tener cuidado en estos casos, porque el nuevo reglamento exige que quien vaya a recibir publicidad o promociones haya dado su consentimiento expreso. Ya no basta, por ejemplo, con una casilla premarcada en la que se da por enterado. Por tanto, hay que revisar que todas las personas que estén incluidas en una base sepan para qué se van a usar sus datos y hayan dado un sí claro y rotundo, por lo que es necesario revisar todas las cláusulas de información que se usaban hasta ahora.
¿Hay que seguir registrando los ficheros de datos ante la Agencia Española de Protección de Datos?
No, ya no es obligatorio. Sin embargo, sí es necesario contar con un registro de actividades de tratamiento, es decir, una especie de inventario para saber para qué y de qué manera se están usando los datos. En el caso de las empresas con más de 250 trabajadores, el registro es obligatorio.
¿Hace falta un responsable de protección de datos?
El delegado de protección de datos es la persona designada –interna o externa– por la empresa para supervisar, coordinar y divulgar la política de protección de datos, además de ser el enlace con la Agencia Española de Protección de Datos. Su nombramiento sólo es obligatorio en determinados casos: si una empresa tiene la sede fuera de la UE; si se trata de un organismo o empresa pública (excepto los tribunales); o si maneja datos personales a gran escala que necesiten un seguimiento o actualización constante o información masiva sobre temas sensibles (ideología, orientación sexual, antecedentes penales, etcétera).
Enlace: http://rsocial.expansionpro.orbyt.es/epaper/xml_epaper/Expansión/