El nuevo Reglamento General de Protección de Datos (GDPR) que entró en vigor en significó grandes cambios en la forma en que las empresas recopilan y manejan datos personales. La idea detrás de la nueva legislación es brindar a las personas un mejor acceso y control sobre sus propios datos personales. Si bien esta es una gran noticia para las personas, requiere un poco de trabajo adicional por parte de las empresas, que ahora deben proporcionar bases legales para recopilar datos y utilizarlos únicamente para el propósito previsto. Es más, deben seguir estas regulaciones al pie de la letra y cumplir con el RGPD en todo momento.
Esto se aplica a empresas de todos los tamaños, incluso a su pequeña empresa . Si recopila datos personales de cualquier forma, como correos electrónicos, direcciones, nombres o detalles financieros, su empresa debe cumplir con el RGPD. Si se descubre que no está administrando y protegiendo sus datos de manera efectiva, podría enfrentarse a una gran multa. Aunque los reguladores pueden ser un poco más indulgentes con las empresas más pequeñas dependiendo de la cantidad de datos que tengan, una multa no deseada siempre es una mala noticia. Es por eso que hemos elaborado esta lista de verificación para ayudar a garantizar que su pequeña empresa cumpla con el RGPD. En esta guía veremos:
- Comprender sus datos y responsabilidades
- Definición de su política de consentimiento de datos
- Solicitudes de acceso y eliminación de datos antiguos
- Configurar una política de seguridad y almacenamiento de datos
- Formación de todo el personal sobre RGPD
- Creación de avisos de tratamiento de datos.
- Comprender sus datos y responsabilidades
Para cumplir con el RGPD, es importante que comprenda qué datos está recopilando y sus responsabilidades como empresa. Por lo tanto, es una buena idea estar al tanto de lo que se define como “datos personales” y establecer pautas estrictas sobre cuánta información necesita recopilar. Esto se debe a que una gran parte del RGPD garantiza que solo recopiles la información personal que realmente necesitas y que solo se utilice para el fin previsto. Cuanto menos recolectes, más fácil será cumplir.
También querrá asegurarse de que cualquier persona involucrada en el manejo de datos comprenda cómo recopilar y almacenar los datos de manera efectiva, así como también cómo procesarlos de acuerdo con el RGPD. A medida que recopila datos, es una buena idea anotar cómo se obtiene el consentimiento y qué procesos atraviesan los datos una vez que se han recopilado.
- Establecer su política de consentimiento de datos
Obtener el consentimiento claro y explícito de las personas para recopilar y utilizar sus datos es uno de los aspectos más importantes del RGPD. Por este motivo, debe explicarles a los clientes o a quienes utilizan sus servicios por qué recopila sus datos y cómo piensa utilizarlos en el futuro. Una vez que hayan aceptado activamente, usted podrá recopilar sus datos; esto generalmente se hace a través de formularios de registro o ventanas emergentes. Sin embargo, si no te dan permiso, bajo ninguna circunstancia debes registrar su información personal.
Debe poder demostrar que han obtenido el consentimiento para todos los datos que ha recopilado. De lo contrario, corre el riesgo de recibir una multa. Otro punto que vale la pena señalar es que ya no puede confiar en tácticas clandestinas, como casillas previamente marcadas, para obtener el consentimiento. Esto ahora es ilegal según el RGPD y puede ocasionarle problemas. Por último, debe facilitar que las personas opten por no recibir sus comunicaciones. La mejor manera de hacerlo es agregando un botón para cancelar la suscripción en la parte inferior de todos los correos electrónicos.
- Solicitudes de acceso y eliminación de datos antiguos
Si aún no lo ha hecho, GDPR establece que debe obtener un nuevo permiso de los clientes cuya información tenía antes de que se implementaran las nuevas pautas en mayo de. Si no le dan su consentimiento una vez más o no responden a su correo electrónico en absoluto, deberás eliminar sus datos lo antes posible. Una parte importante de su lista de verificación del RGPD debe ser implementar procesos de auditoría que determinen cuánto tiempo almacenará los datos. Por ejemplo, si un cliente no ha interactuado con su marca en 12 meses, ya no es necesario conservar su información y, por lo tanto, debe eliminarse.
Es más, como parte del RGPD, todos los ciudadanos de la UE tienen derecho a acceder a sus datos. Por lo tanto, necesita un sistema para gestionar las solicitudes de acceso. Tendrás 30 días desde la recepción de la solicitud para proporcionarles una copia electrónica de toda la información que tengas sobre ellos. También pueden solicitar que se elimine, por lo que necesita un sistema para hacerlo lo más rápido posible.
- Configurar una política de seguridad y almacenamiento de datos
El RGPD tiene como objetivo proteger los derechos y la información personal de las personas, por lo que debes asegurarte de cuidar los datos que recopilas. Esto significa saber dónde está almacenado y asegurarse de contar con las medidas de seguridad para mantenerlo seguro. Mapear todos los lugares donde almacena datos, ya sea correo electrónico, bases de datos o sistemas basados en la nube, hace que sea más fácil encontrar y gestionar solicitudes de acceso o eliminación. Su política de seguridad y almacenamiento debe describir dónde se almacena todo, cómo se protege y quién tiene acceso a dichos datos.
También necesita saber cómo se transfieren los datos y el flujo de información en su empresa. Esto evita que la información aparentemente se pierda o caiga en las manos equivocadas. También vale la pena tener un sistema implementado en caso de que se acceda a su hardware o se pierda, aunque contenga información confidencial. Por ejemplo, si se extravía una computadora portátil llena de información, tener los datos cifrados significa que es menos probable que sea víctima de una infracción o que enfrente una multa.
- Formación de todo el personal sobre RGPD
La mayoría de las violaciones de datos o errores de seguridad se deben a errores humanos. Pero desafortunadamente, en este caso la ignorancia no es una bendición, no se puede usar la ignorancia como excusa para manejar mal los datos. Por este motivo, es importante que todos los miembros de su equipo estén informados sobre el RGPD, sus responsabilidades personales en el cuidado de los datos personales y cómo reconocer una infracción. Como parte del RGPD, debe informar cualquier violación de datos dentro de las 72 horas; esto se vuelve mucho más fácil si todos los miembros de su equipo saben cómo se ve esto y a quién deben informar.
- Creación de avisos de tratamiento de datos.
Por último, el manejo de datos debe ser un proceso claro y transparente y, por lo tanto, es una buena idea crear un aviso para explicar cómo su empresa recopila y procesa los datos. Esto a menudo se denomina Aviso de procesamiento justo y se puede enviar a los clientes/usuarios, además de mostrarse en algún lugar de su sitio web. Debe describir cómo se capturan, utilizan y almacenan los datos, además de dar instrucciones sobre cómo una persona puede realizar una solicitud de acceso o eliminación. Esto les ayuda a comprender cómo usted protege sus datos y puede ser excelente para construir su reputación como empresa legítima y solidaria.