En la mayoría de los negocios es necesario tratar datos personales. Nombre, correo electrónico, edad o preferencias de los consumidores y clientes que, hasta no hace mucho, se guardaban en bases de datos para futuras promociones o campañas de publicidad, entre otros usos, sin muchas precauciones.
Sin embargo, desde mayo de 2018 el Reglamento General de Protección de Datos (RGPD) es plenamente aplicable en España y afecta directamente a todas las empresas y autónomos que, en su actividad, manejen datos personales. Desde entonces miles de pymes han tenido que adaptarse modificando su concepción de la protección de datos.
En efecto, la normativa comunitaria, que es de aplicación en todos los países miembros, parte de un principio clave y no visto hasta entonces en nuestro ordenamiento jurídico: el silencio del consumidor –en cuanto al tratamiento de sus datos– no implica consentimiento.
Según esta normativa, el consentimiento tendrá que venir de una actitud o expresión activa por parte de las personas: nada de inferir o suponer por intereses comerciales.
Por ello ahora se obliga a las empresas la obtención y el registro de ese consentimiento. Al menos si quieren seguir operando con datos de clientes sin ser sancionados con multas escalonadas, que pueden alcanzan hasta el 4% de la facturación global anual, o 20 millones de euros, para quienes lo incumplan.
Ese es uno de los cambios fundamentales que ha traído consigo la entrada en vigor del RGPD, pero no el único. La protección de datos de los consumidores y clientes está en el corazón de la norma, pero hay que tener en cuenta también otros aspectos importantes.
Si todavía no tienes claro cómo adaptar tu pyme, bienvenido. Aquí te dejamos a una breve guía del RGPD para empresas, micro empresas, pymes o autónomos. Te damos algunas claves para entender la norma, y consejos útiles para adaptar tu pyme o negocio a la normativa comunitaria.
En la era digital, los datos son valiosísimos y se han llegado a tildar como “el nuevo petróleo”. Sin lugar a dudas, son un activo de enorme valor para empresas grandes y pequeñas.
Por ello, paralelamente, la privacidad se ha convertido en una prioridad para particulares y para compañías de todo tipo, y el impacto negativo de un uso sin límites ya se ha visto acotado por la legislación vigente.
El Reglamento General de Protección de Datos (RGPD), en vigor en toda la UE, afecta a cualquier persona o empresa que recopile, guarde o utilice datos personales de terceros en cualquier país de la UE. Ya sea una pyme o un gigante tecnológico como Facebook. Todos estamos obligados a seguir unas normas en el tratamiento de los datos personales.
En esta época de transformación digital y economía del dato, es fundamental que organizaciones de todo tipo analicen tanto su política de protección de datos personales como los procedimientos puestos en marcha para respetar el RGPD.
No hacerlo supone enfrentarse a cuantiosas multas que, más allá del golpe financiero, pueden afectar gravemente a la competitividad de la empresa y la capacidad de obtención de clientes.
En España, la entrada en vigor de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) en diciembre de 2018, que adapta al derecho español el RGPD, ha sustituido a la antigua Ley Orgánica de Protección de Datos (LOPD), que ya tenían que cumplir pymes, autónomos y, por supuesto, grandes empresas.
Pero, ¿qué novedades impulsa la nueva regulación y cómo adapto mi pyme a la legislación vigente en materia de protección de datos? En primer lugar, como adelantábamos al comienzo, cambia la concepción del tratamiento de datos personales.
Hasta la entrada en vigor del Reglamento, el silencio del consumidor (o la ausencia de protesta) se entendía jurídicamente como una aceptación o consentimiento. La nueva norma da un vuelco de 180 grados a esta realidad: ahora, el consentimiento tendrá que ser expreso y activo.
El consentimiento tácito deja de ser válido y será necesaria la doble confirmación para añadir cualquier dirección de email a una base de datos utilizada, por ejemplo, para hacer un mailing periódico a tus clientes con novedades, promociones o el envío de una newsletter.
En esa doble confirmación se incluye la obligación de que el cliente apruebe por segunda vez mediante correo electrónico su suscripción a cualquier lista.
Además, en los formularios donde se recoja información del usuario, es obligatorio incluir una casilla en la que el usuario marque de manera activa, aceptando que ha leído y está de acuerdo con la política de privacidad de una web.
Las webs tienen que explicar en su política de privacidad de forma clara y concisa, en donde se detalle cómo obtienen los datos del usuario y cómo los van a tratar, así como si los comparten (o no) con terceros.
Por su parte, las empresas deben designar un DPO, Delegado de Protección de Datos, que será el responsable de los datos de la web, y que deberá avisar a la Agencia Española de Protección de Datos, en 72 horas, ante cualquier brecha de seguridad que ponga en peligro la privacidad de los usuarios.
¿Qué hay de la protección al menor? Se obliga a que el consentimiento de un menor de 14 años esté validado por tutor legal. A los datos protegidos se añaden los datos genéticos y se recoge el derecho al olvido dentro del ordenamiento jurídico –que existe desde la sentencia del TJUE–, una demanda en auge con la explosión de Internet.
Además, se crea una ventanilla única y se ha creado el Comité Europeo de Protección de Datos, que dan consistencia y unicidad al tratamiento de datos en todos los países de la UE. No olvidemos que para el tráfico de datos no existen fronteras y, en muchos casos, son empresas multinacionales las que acumulan información del internauta.
Si tu empresa tiene una web, lo primero es adaptarla a la nueva realidad.
Con una redacción clara, estas políticas deben incluir los datos que se están recogiendo y utilizando y deben informar de aquellos servicios de terceros que usas en tu página web y que almacenan datos. Además, tienen que dejar claro la finalidad de la utilización de los datos y el plazo en el que se conservarán los datos personales.
Asimismo, es obligatorio informar de el uso de herramientas de segmentación para elaborar perfiles de clientes y, en todos los casos, será necesario informar al usuario de su derecho de acceso, rectificación o eliminación de sus datos personales por parte de la empresa.
Para hacerlo, lo normal es que tengas que adaptar tu web e incluir toda esta información. Asegúrate de colocar correctamente todos estos elementos informativos, de manera que sean visibles e identificables: inclúyelos en el footer para que sean accesibles desde cualquier parte de tu web.
Has de poner especial atención a los formularios, ya que cualquier elemento de este tipo necesita, para ser legal, el consentimiento expreso del usuario y la aceptación de la política de privacidad antes de dejar sus datos. Puedes incluir una opción de aceptación de consentimiento que no esté previamente marcada.
El RGPD define al Delegado de Protección de Datos (DPD). Tu empresa estará obligada a disponer de dicha figura si en sus actividades se incluye la “observación habitual y sistemática de interesados a gran escala” o el tratamiento a gran escala de datos sensibles.
Si no es el caso, no será necesario que designes a un DPD. Sin embargo, en los tratamientos llevados a cabo por autoridades y organismos públicos sí será necesaria la existencia de esa figura.
En algunos casos, el RGPD obliga a crear y mantener un registro de las actividades de tratamiento de datos. Los encargados del tratamiento que realicen actividades de este tipo habitualmente deben conservar este inventario de registros siempre que la empresa cumpla una serie de características.
Estará obligada a mantener este registro toda empresa que encaje con alguno de los siguientes criterios:
Además, el RGPD requiere identificar claramente cuáles son la finalidad y la base jurídica de los tratamientos que se llevan a cabo. La base jurídica suele ser el consentimiento del interesado, la existencia de un contrato con el interesado o el mantenimiento de una obligación legal
En este sentido, hay que tener especial cuidado con el tratamiento basado en el consentimiento, ya que, como apuntábamos al principio, el RGPD ha reforzado los requisitos para obtenerlo: tiene que ser un consentimiento “informado, libre, específico y otorgado mediante una clara acción afirmativa”.
Desde la entrada en vigor del RGPD, es necesario realizar un análisis del riesgo para determinar el riesgo que corren los derechos y libertades de los ciudadanos los diferentes tratamientos de datos que se llevan a cabo en la empresa u organización.
Además, será necesario revisar las medidas de seguridad aplicables y, si fuese necesario, completarlas de acuerdo a los resultados del análisis.
En este sentido, el RGPD introduce la gestión de las violaciones de seguridad de los datos, de manera que es obligatorio notificar a la Autoridad de Control ante cualquier evento de este tipo siempre que pueda constituir un riesgo para los derechos y libertades de los clientes, consumidores o cualquier otro afectado.
En definitiva, son varios los pasos que debes dar para estar completamente adaptado a la nueva norma de protección de datos. La Agencia Española de Protección de Datos facilita una herramienta que puedes utilizar para ayudarte en la adaptación, Facilita RGPD.
No te preocupes si tienes dudas. En Yoigo Negocios estamos esperando a que nos consultes cualquier duda burocrática relacionada con la digitalización. Entra en nuestra web o llama al 900 622 700 y adáptate ya a la normativa comunitaria.