Somos conscientes que la respuesta que te vamos a dar no va a ser de tu agrado, pero sí; hemos de adaptar de nuevo el negocio a la RGPD. Pero no te preocupes porque el equipo de abogados de asesorialopd.com ha preparado una sencilla guía para mostrarte cómo cumplir con la nueva normativa en tan sólo 10 pasos.

¿Quieres conocer más? Aquí los tienes:

PRIMERO: información de la privacidad

En primer lugar, deberemos revisar los avisos de privacidad que tenemos publicados en nuestra web, blog o App y determinar qué debemos modificar, atendiendo al contenido de la nueva normativa. A diferencia de lo que ocurría con la LOPD, la nueva regulación es más exigente a la hora de informar al usuario, pues se deberá indicar:

• La base legal para tratar los datos personales.
• El tiempo de retención de los datos.
• El derecho de los interesados a presentar una queja ante la autoridad de control si consideran que se está violando algún derecho a la hora de tratar sus datos personales.

Adicionalmente a lo anterior, el RGPD requiere que la información que se proporcione se realice en un lenguaje conciso, fácil de entender y claro.

SEGUNDO: derechos de los interesados

En cuanto a los derechos que la RGPD brinda a todo titular de datos personales, se establecen los siguientes:

• Acceso.
• Posibilidad de suprimir información.
• Corrección de inexactitudes.
• Evitar la comercialización directa.
• Prevenir la toma de decisiones y perfiles automatizados.
• Portabilidad de datos.

En líneas generales, la RGPD recoge los derechos que ya se incluían en la LOPD, con algunas mejoras y nuevas introducciones, como es el caso del derecho a la portabilidad.

¿Qué es el derecho a la portabilidad? Guarda cierta similitud con el derecho de acceso, pero, en este caso, el interesado debe proporcionar los datos electrónicamente y en un formato ampliamente utilizado.

TERCERO: solicitudes de acceso

Las solicitudes de acceso también se han visto modificadas con la entrada en vigor de la nueva normativa. En la mayoría de los casos no se podrá cobrar por cumplir con una solicitud y normalmente se dispondrá de sólo un mes para cumplir, en lugar de los 40 días actuales.

Asimismo, habrá diferentes causas para denegar el cumplimiento de la solicitud de acceso, tales como las manifiestamente infundadas o excesivas. Si se desea rechazar una solicitud de acceso se deberá disponer de políticas y procedimientos que demuestren por qué la solicitud sí cumple con las condiciones.

CUARTO: tratamiento de los datos personales

En este punto, la entidad deberá explicar su base legal para el tratamiento de datos personales en su aviso de privacidad y cuando responda a una solicitud de acceso de asunto.

Las bases jurídicas en el RGPD, son las mismas, por lo que debería ser posible determinar los diferentes tipos de tratamiento de datos personales a realizar e identificar la base legal para llevarlo a cabo.

QUINTO: consentimiento expreso

En primer lugar, se debe realizar una revisión de cómo se está recabando el consentimiento de un usuario y valorar si se debe llevar a cabo alguna acción de acuerdo con lo que establece la nueva normativa, en la que se hace referencia al consentimiento y al consentimiento explícito.

La diferencia entre una y otra no es evidente, pues en ambas modalidades de consentimiento éste debe darse libremente, de forma específica, informada e inequívoca. También se debe tener presente que el consentimiento tiene que ser verificable.

SEXTO: Violaciones de datos personales

Todo emprendedor o todo negocio debe disponer de los procedimientos adecuados para detectar, informar e investigar cualquier posible violación de datos que se produzca. El RGPD establece la obligación de notificar en todo momento una posible violación de datos, no solamente en algunos casos concretos como se indicaba anteriormente en la LOPD.

Esto obliga a toda organización a asegurarse de que tiene a su disposición todos los procedimientos adecuados para detectar, informar e investigar una violación de datos personales. Implica, en definitiva, llevar a cabo una evaluación exhaustiva de los tipos de datos que posee y de la documentación de los datos que estarían incluidos en el requisito de notificación en caso de existir incumplimiento.

SÉPTIMO: datos de menores

Se deberá disponer de un sistema de verificación de la edad, y, en el caso de tratar datos personales de menores, recabar el consentimiento expreso de los padres y de los tutores.

El RGPD ofrece una protección especial para los datos personales de menores, poniendo especial atención a las redes sociales.

OCTAVO: evaluación de impacto de protección de datos

Es conocido que siempre que se trabaje con datos personales de terceros es bueno tener diseñado un plan que describa qué datos recoge la organización, cómo se van a tratar y qué impacto tienen a nivel de privacidad. No obstante lo anterior, ha sido la entrada del nuevo RGPD la que ha recalcado su importancia y lo ha tratado como un requisito jurídico expreso, a pesar de que una Evaluación de Impacto en Protección de Datos (EIPD) sólo deberá llevarse a cabo en situaciones de alto riesgo. Para conocer más acerca de las EIPD y cuáles son las circunstancias en las que es obligatorio realizarlas, para ampliar información puedes leer el siguiente artículo de nuestro blog: Evaluación de impacto en Protección de Datos.

NOVENO: transferencias internacionales de datos

Si tu negocio opera internacionalmente deberás determinar a qué autoridad de supervisión de protección de datos debe acogerse.

La autoridad principal se determinará en función de dónde esté la administración de tu empresa o dónde se adopten las decisiones relativas al tratamiento de los datos personales.

DÉCIMO: delegado de protección de datos

Ésta es otra de las novedades principales de la nueva normativa: la creación de la figura del DPO. Es decir, designar a alguien dentro de la organización que asuma la responsabilidad de cumplir con la regulación en materia de protección de datos. Si quieres conocer más acerca de su rol y de sus funciones, puedes leer el artículo que nuestro equipo de abogados ha publicado en nuestro blog sobre la figura del delegado de protección de datos (DPO).

Si tienes alguna pregunta no olvides consultarnos a través de los comentarios o a través de nuestro formulario de contacto.

 

Share This