RGPD: 6 obligaciones que deberán cumplir todas las empresas antes del 25 de mayo

22/05/2018

RGPD: 6 obligaciones que deberán cumplir todas las empresas antes del 25 de mayo

Por Conrado Moreno Bardisa, Socio Director de Bardisa y Asociados

El cumplimiento de la protección de datos en empresas es una cuestión que preocupa a muchos empresarios. Sobre todo con la entrada en vigor del nuevo Reglamento Europeo en 2016 que será aplicable a partir del próximo 25 mayo de 2018. Sólo queda una semana para que sea totalmente obligatoria su aplicación. Si eres empresario o autónomo y recoges datos de usuarios europeos, esta normativa te afecta de lleno.

Las modificaciones introducidas por el nuevo Reglamento 2016/679, supondrá que la mayoría de organizaciones que forman parte del tejido empresarial español tendrán que revisar sus procedimientos de actuaciones en materia de protección de datos para adaptarlos a las nuevas exigencias.

Ahora bien, ¿Todas las empresas y organizaciones están obligadas a cumplir con el RGPD?

Estarán obligadas al cumplimiento de la normativa de protección de datos las empresas u organizaciones que:

Sean entidades con personalidad jurídica.
Por lo general, todas las empresas, asociaciones o fundaciones tratan datos personales relacionados con empleados, proveedores y clientes. Y lo hacen tanto en formato papel como digital.

Por tanto, las empresas que tratan y almacenan datos como encargadas o responsables del tratamiento de los mismos, están obligadas al cumplimiento del RGPD.

Cualquier incumplimiento puede conllevar cuantiosas sanciones, nada deseables para ninguna empresa.

Por esta razón se debe garantizar que la implementación de la protección de datos se haya realizado correctamente. Aquí es donde entra en juego la importancia de elegir a un DPO, encargado de velar por el cumplimiento de la normativa.

Otra de las novedades del Reglamento de Protección de Datos es la obligación de algunas empresas de contratar a un Delegado de Protección de Datos (DPO). ¿Cuáles son las principales obligaciones del RGPD para empresas y organizaciones?

Las obligaciones más importantes de una empresa son las que se derivan del tratamiento de datos. En el tratamiento de datos personales se derivan las siguientes obligaciones que debe cumplir un empresario como Responsable del tratamiento:

1. Establecer un procedimiento de recogida de datos de los clientes:

La principal obligación que tienen las empresas es recoger el consentimiento expreso, explícito e inequívoco de sus clientes. Es decir, ya no será suficiente con el consentimiento tácito.

Además, se deberá informar sobre los datos del Delegado de Protección de Datos designado (lo veremos en el punto 6 de este artículo). Así como de la finalidad del uso de los mismos como hasta ahora.

2. Nuevos derechos para los usuarios:

Igualmente las empresas informarán en el documento de recogida de datos sobre los derechos ARCO de sus clientes. Estos derechos son:

Rectificación.
Cancelación.
Oposición.
Derecho al olvido. Que es la consecuencia del derecho al borrado o una manifestación de los derechos de cancelación u oposición en el entorno online. (Novedad).
Limitación del tratamiento (Novedad).
Derecho a la portabilidad de datos (Novedad).

El ejercicio de los derechos anteriores será gratuito (con algunas excepciones), debiendo establecerse procedimientos que faciliten de forma visible y accesible el ejercicio de los mismos por parte de sus clientes.

3. Firmar contratos de encargado de tratamiento:

En las relaciones con proveedores, gestorías, informáticos, clientes y empleados en las que tenga lugar la cesión de datos será necesaria la firma de un contrato de encargado del tratamiento.

4. Evaluación de impacto:

La evaluación de impacto se deberá realizar con anterioridad al comienzo del tratamiento de aquellos datos que conlleven un alto riesgo sobre los derechos y libertades fundamentales de los interesados.

5. Notificaciones de las violaciones de seguridad:

Las violaciones de seguridad son conocidas también como “quiebras de seguridad”.

Las quiebras de seguridad incluyen cualquier incidente que provoque una destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

A modo de ejemplo, estamos ante una violación de seguridad cuando perdemos el ordenador portátil o se produce un acceso no autorizado a las bases de datos de la empresa.

En caso de producirse una quiebra de seguridad, entre otras obligaciones, el responsable deberá comunicarlo a la autoridad competente dentro del plazo de 72 horas a ser posible y documentar todas las violaciones de seguridad.

6. Asignación de un Delegado de Protección de Datos (DPO):

El DPO será la persona designada por la empresa para la supervisión de que todos los procesos se están implementando correctamente. En definitiva, que la empresa está cumpliendo con las obligaciones del Reglamento.

Para ello el Delegado de Protección de Datos tendrá los conocimientos jurídicos y técnicos apropiados para garantizar la adecuada aplicación de las medidas técnicas y organizativas conforme al Reglamento.

Cookie	Descripción
cli_user_preference	Cookie gestionada por el complemento de consentimiento de cookies de GDPR. Se utiliza para registrar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.
cookielawinfo-checkbox-analitica	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Analítica'.
cookielawinfo-checkbox-necesarias	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Necesarias'.
cookielawinfo-checkbox-preferencias	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Preferencias'.
cookielawinfo-checkbox-rendimiento	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Rendimiento'.
CookieLawInfoConsent	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Se utiliza para almacenar el estado de consentimiento de cookies del usuario.
NID	Cookie gestionada por Google, contiene un ID único que Google utiliza para recordar preferencias y otra información como el idioma preferido y así crear un perfil en función del interés del usuario.
viewed_cookie_policy	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Descripción
_ga	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatorio para identificar visitantes únicos.
_gid	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.

RGPD: 6 obligaciones que deberán cumplir todas las empresas antes del 25 de mayo