¿Todavía tienes dudas a la hora de cumplir el RGPD? ¿No tienes claras las principales obligaciones que debes cumplir para evitar cometer alguna infracción o vulneración de la normativa? En este artículo te damos 5 consejos para cumplir el RGPD.
Cumple el RGPD siguiendo estos 5 consejos
Cumplir con el RGPD y, por extensión, cumplir con la LOPD, todavía representa un desafío para muchas empresas y autónomos, especialmente para aquellos que acaban de arrancar su negocio y tienen que hacer frente a diferentes obligaciones legales. Sin embargo, la protección de datos y el cumplimiento del RGPD no es algo que deba dejarse para el final u olvidarnos de ello, puesto que infringir la normativa (por desconocimiento o dejadez) puede desembocar en importantes sanciones.
Como en otros artículos del blog ya os hemos hablado en profundidad de las diferentes obligaciones que debe cumplir el responsable del tratamiento según el RGPD, en esta ocasión os vamos a dar 5 consejos a seguir para cumplir con esas obligaciones del RGPD para autónomos y empresas de manera sencilla y sin olvidarnos nada.
5 consejos para cumplir con el RGPD
- Informa a los interesados y responde al ejercicio de sus derechos
Como responsable del tratamiento, siempre deberás informar a tus clientes sobre el tratamiento de sus datos, esta información debe ser siempre clara, fácilmente accesible y redactada en un lenguaje comprensible. Como mínimo, esa información debe contener:
-
- Los datos identificativos del responsable del tratamiento
- En su caso, datos identificativos del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
- La finalidad del tratamiento
- Base legitimadora del tratamiento
- Las categorías de datos tratados
- Los destinatarios de los datos
- Si procede, consecuencias de no facilitar los datos solicitados
- Plazo de conservación de los datos
- Si se producirán transferencias internacionales de datos
- Derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
- Posibilidad de reclamar ante la AEPD (Agencia Española de Protección de Datos)
El cómo suministres esta información dependerá del medio en el que estés recogiendo los datos personales, pero siempre, en el momento en que vayas a tratar datos personales, debes dar esta información a los interesados (que pueden ser tus clientes, tus empleados, socios, etc.).
En cuanto a los derechos ARSULIPO, tienes la obligación de facilitar una vía para que los interesados puedan enviar sus solicitudes de ejercicio de derechos y responder siempre a estas, justificando adecuadamente, en su caso, cuando niegues el derecho solicitado.
- Asegúrate de que tienes una base legitimadora para el tratamiento
Para poder tratar los datos personales de tus clientes, empleados, etc., debes tener una base legitimadora válida. La principal base legitimadora es el consentimiento expreso de los interesados, pero el RGPD recoge otras bases legitimadoras aparte del consentimiento, que podrán usarse en lugar de este, cuando se cumplan los requisitos descritos en ellas.
Estas bases legitimadoras están recogidas en los artículos 6 y 9 del RGPD. No contar con una base legitimadora adecuada o válida para llevar a cabo un tratamiento de datos, convierte a este tratamiento en ilícito, lo que implica que podrían denunciarte y ser sancionado por la AEPD.
- Realiza análisis de riesgos y aplica medidas de seguridad
El RGPD es claro, el responsable del tratamiento debe implementar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de los datos y para ello es necesario realizar, con carácter previo, un análisis de riesgos de la actividad de tratamiento de datos que se planea o prevé hacer, para poder identificar las amenazas para los derechos y libertades de los interesados que puede suponer dicha actividad de tratamiento.
El análisis de riesgos sirve para determinar la probabilidad de que la amenaza se materialice y el impacto que tendría sobre esos derechos y libertades y, en función de esas conclusiones, adoptar y aplicar las medidas de seguridad que contribuyan a minimizar las probabilidades de materialización de las amenazas o, en caso de que ocurran, reducir su nivel de impacto.
- Ten un protocolo de respuesta ante brechas de seguridad
Cuando un incidente de seguridad deriva en una brecha de seguridad que ponga en riesgo los datos personales que custodias, y esto supone un riesgo para los derechos y libertades de los interesados cuyos datos se hayan visto afectados, como responsable del tratamiento tienes la obligación de notificar esa brecha de seguridad tanto a la AEPD como a los propios interesados, para lo que dispones de un plazo máximo de 72 horas.
Para asegurarte de que cumples con dicho plazo para hacer la notificación, es muy recomendable tener implementado un protocolo de respuesta ante brechas de seguridad; dicho protocolo contendrá las medidas a tomar para solucionar el problema y volver a la normalidad, así como para informar a la AEPD y los interesados en tiempo y forma. Al seguir el protocolo, no olvidarás reportar el incidente, tal y como exige la normativa.
Además, tener este protocolo contribuirá a solucionar antes el incidente y poder limitar los daños que pudiera causar.
- Documenta y registra todos los procesos
Ser proactivos en protección de datos, como establece el RGPD y la LOPD, implica que eres tú, como responsable del tratamiento, el que debe demostrar que cumple con las obligaciones de la normativa. Para poder llevar a cabo esta labor, debes documentar y registrar todos los procesos, políticas y procedimientos relacionados con la protección de datos que lleves a cabo. Uno de esos documentos es el registro de actividades de tratamiento, otro es el registro en el que guardes los consentimientos recogidos, también puedes documentar los análisis de riesgos y las medidas de seguridad implementadas, etc.
Así mismo, también puedes solicitar un certificado de cumplimiento RGPD, ya que para obtener este tipo de certificación, es necesario pasar una auditoría de protección de datos, en la que se evaluará el nivel de cumplimiento de las obligaciones de la normativa y las medidas de seguridad aplicadas.
- Consejo extra: Comprueba si necesitas designar un DPO
Finalmente, y como consejo extra, comprueba si por la actividad de tu empresa (artículo 34 de la LOPDGDD) o por el volumen o categoría de datos que tratas (artículo 37 del RGPD), necesitas designar un Delegado de Protección Datos.
Además, ten en cuenta que las empresas con más de 50 trabajadores, obligadas a tener un canal de denuncias internas, también deben nombrar un DPO, aun cuando no sea necesario por su actividad.
Tras este repaso a las principales obligaciones que debe cumplir el responsable del tratamiento según el RGPD, esperamos que tengas más claro cómo cumplir el RGPD y la LOPD, pero si todavía tienes dudas o necesitas ayuda, no dudes en ponerte en contacto con Grupo Atico34 y nuestro equipo de expertos en protección de datos te ayudarán y asesorarán para que tu empresa cumpla con la normativa; más de 12 años de experiencia en la materia nos avalan.