El nuevo Reglamento General de Protección de Datos (RGPD) impulsado por la Unión Europea será de aplicación obligatoria para autónomos y pymes a partir del 25 de mayo. Es la fecha límite para aplicar esta normativa que afecta a todas las personas y empresas comunitarias que recopilen o usen datos de carácter personal.
En Circulantis, siempre defendemos la transparencia y trasladamos esa exigencia a nuestra plataforma de financiación alternativa. Garantizamos a nuestro usuarios (inversores particulares y empresas) la máxima seguridad y protección de los datos que les solicitamos, que son los mínimos para ofrecer nuestro servicio.
¿Qué se debe proteger?
Toda información que identifique o esté asociada a una persona es objeto de protección. El nuevo reglamento (RGPD) pretende cultivar un compromiso proactivo por parte de las organizaciones, representado en sus políticas de privacidad. Se trata de dar mayor seguridad a los ciudadanos en cuanto al proceso de recopilación, uso, divulgación o protección de su información personal.
En general, los autónomos y pymes deben cuidar:
- Los datos identificativos y de contacto que poseen de particulares derivados de alguna relación comercial. Hay que comprobar si el mantenimiento y finalidad de los mimos está justificada y aprobada.
- La recopilación de datos online. El empleo de formularios de registro en páginas web o aplicaciones obliga a una política de privacidad bien documentada, clara y que cumpla los requisitos legales para la obtención de la aceptación de los usuarios.
- También se deben adoptar medidas para proteger la información personal de los empleados.
Uno de los problemas más serios lo impone la era digital, donde el acceso y transmisión de información es muy alto y aumenta la vulnerabilidad y los riesgos.
Pasos para cumplir con la protección de datos
- Elaborar la documentación adecuada
Ya no hay que enviar ningún fichero a la Agencia de Protección de Datos como exigía la anterior normativa. Ahora, es necesario familiarizarse con los documentos esenciales del nuevo Reglamento.
- Documento de seguridad. Funciona como registro de actividades y Plan de Protección de Datos.
- Compromisos de confidencialidad. En el caso de permitir el acceso a terceros se han de firmar contratos específicos para asegurar el compromiso de confidencialidad (también para los trabajadores implicados).
- Política de privacidad. Expone como se usará la información recogida de clientes, usuarios o empleados. Debe ser muy transparente en relación a todo lo registrado, su plazo de permanencia, la finalidad y, en su caso, la posible cesión a terceros.
Hay que adaptar y facilitar todos los canales de comunicación (online y offline) para que cualquier interesado pueda acceder, modificar o cancelar lo que desee.
- Solicitar consentimiento
Las empresas han de acreditar una autorización explícita en relación a su política de privacidad. No se permite un consentimiento tácito ni emplear casillas de aprobación ya marcadas en los formularios online.
Esto supone revisar y actualizar los consentimientos obtenidos hasta la fecha. Además, se debe garantizar el derecho de limitación, portabilidad y olvido.
- Elaborar un registro de actividades
El documento de seguridad debe incluir un registro de todos los procesos y actividades que tengan como referencia el uso de información privada y las medidas que se tomarán en cada caso para protegerla.
- Análisis de riesgos
El documento de seguridad actúa también como Plan de protección de datos y analizará todos los posibles riesgos y sus impactos en caso de uso incorrecto, filtraciones o robo de los mismos. La normativa exige un protocolo específico para actuar ante lo que llama “violaciones o brechas de seguridad”.
- Determinar si es necesario un DPD en la organización
Designar un Delegado de Protección de Datos (DPD) es obligatorio en ciertos casos:
- Para las Administraciones Públicas
- En empresas donde la protección de datos, en sí misma, sea parte de su operativa.
- En los casos en los que se exija un seguimiento regular y a gran escala. Esto se relaciona con aspectos como el volumen, la variedad de perfiles recopilados, la exposición geográfica o información reservada.
Esta adaptación no está resultando fácil ni comprensible en muchos casos. Exige tiempo y organización pero puede ser menos compleja apoyándose en procedimientos ya establecidos. Es una cuestión importante porque las sanciones pueden ser elevadas y, sobre todo, es una demanda firme de la sociedad y un compromiso para las empresas.