Claves para implementar la protección de datos en tu empresa

La protección de datos de los usuarios ha tenido que ser revisada y reforzada a partir de la democratización de Internet y de que las empresas comenzaran a comercializar con tu información online. 

En mayo de 2018, el reglamento europeo de protección de datos se convirtió en obligado cumplimiento. Lo que supuso que los legisladores españoles también se tuvieran que poner a trabajar en este asunto y hacer una adaptación al RGPD de la normativa española, aclarando algunos puntos y añadiendo otros, dando lugar a la denominada LOPDGDD (Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales).

La adaptación a la LOPD del reglamento europeo fue rápido y ofrecía mayores coberturas para la protección de nuestros datos.

Como es un tema complejo y sobre el que surgen un montón de dudas, vamos a intentar aclararte cuáles son los puntos clave a tener en cuenta a la hora de ponerte manos a la obra:

Este es el punto que marca el grado de complejidad que va a presentar tu adaptación al reglamento, ya que, lamentablemente, no existe un “plan estándar” para todas las empresas. Todo depende del tipo de datos que manejes, su volumen y lo que vayas a hacer con ellos. Se tratará de una “adaptación a gran escala” si:

 1.- Gestionas una gran cantidad y variedad de datos.

2.- Tu actividad comprende una extensión geográfica grande.

3.- El número de interesados (usuarios) es extenso.

4.- Trabajas con datos “especialmente sensibles” (de carácter étnicos, ideológicos, genéticos, sanitarios…).

En este caso tendrás que designar un Delegado de Protección de Datos (DPO) que será el encargado de que tu empresa cumpla con el reglamento, siendo el máximo responsable del mismo.

Ahora tu web tendrá que cumplir una serie de requisitos, ya que es el portal de entrada de tus clientes y usuarios. Estos son algunos consejos a seguir para lograrlo, tanto respecto al formulario como a las cookies:

1.- Ten muy claro cuál es la información que estás pidiendo a los usuarios y pide solo aquella que necesitas.

2.- La casilla en la que el usuario reconoce haber leído la política de privacidad es más importante que nunca. Si no la tenías, es lo primero que debes añadir al formulario de suscripción. Inmediatamente después debe ir un texto en el que expliques bien claro la finalidad de recoger dicha información.

3.- La ley pide doble aceptación del usuario, es decir, no basta con que den su consentimiento en el formulario, sino que has de enviarle un mail volviéndoselo a preguntar.

Como te hemos indicado antes, no todas las empresas han de hacer la misma adaptación a la GDPR. Hay algunos casos en los que, por su sector de actividad o por el volumen de datos tratados, tendrán que ser mucho más estrictas que otras. Por ejemplo, los hospitales, centros de salud o aseguradoras que manejan información sensible, han de tener una precaución mayor.

También están otros sectores como el de la publicidad y el marketing, que manejan ingentes cantidades de información y la comercializan. Estas empresas han de tener especial cuidado en informar al usuario de la finalidad de la recogida de sus datos, no pudiéndose utilizar para otros objetivos, como sabemos que, tradicionalmente, se venía haciendo.

Las multas que se le pueden caer a estas compañías por incumplimiento de la ley de protección de datos no son ninguna broma, pudiendo llegar a los 10 millones de euros (como máximo) o el 2 % del volumen anual del negocio.

La ley también establece que debes almacenar los datos de una manera segura, contando con un sistema que garantice esta protección. La información debe estar accesible a nivel global, por lo que se recomienda utilizar servidores que estén en la nube. Si tu empresa tiene sede europea, pero con clientes fuera de estas fronteras, tendrás que almacenar los datos con sistemas que tengan un sello oficial de privacidad europeo. Lo mismo se aplica a los datos que estén en soporte físico, cuya seguridad y protección tienen que estar avalados.

En el caso de que tengas una pyme donde los datos no sean el core de tu negocio, no tendrás que cumplir con algunos de los preceptos de la GDPD. En caso contrario el acceso a la información de tus usuarios y clientes tiene que estar jerarquizada, siendo el máximo responsable el CPO, del que hemos hablado antes.

Este profesional tiene un cargo directivo, situándose en el mismo nivel que la cúpula de la empresa y decidiendo quién puede y quién no llegar a los datos sensibles, bajo su responsabilidad. Además, todas las reclamaciones que haya contra la empresa por este motivo llegarán al CPO, quien debe incluso responder judicialmente en caso de denuncia contra la violación de datos. También es el único interlocutor válido entre la empresa y la Agencia Española de Protección de Datos, en caso de eliminación de archivos o peticiones de registro.

Hasta aquí el resumen de los puntos más importantes que debes tener en cuenta. ¿Tienes más claro por dónde tienes que empezar? ¿Cuáles son los aspectos en los que puedes encontrarte con problemas? Y recuerda que, si ves que el tema se te complica, hay empresas especializadas en el sector de la adaptación LOPD que te podrán orientar y ayudar en lo que necesites.