Desde hace unos años, el concepto «protección de datos» forma parte de nuestras vidas. Lo encontramos cuando vamos a firmar contratos, darnos de alta como clientes en nuestra tienda favorita, e incluso cuando visitamos alguna web.
Tiene tanta presencia en nuestras vidas que, incluso, cada 28 de enero se celebra el día internacional de la protección de datos, promovido por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de datos de los estados miembros de la Unión Europea, con el objetivo de concienciar sobre los derechos y obligaciones de los usuarios de Internet.
En este post queremos contarte todo lo que debes saber sobre la protección de datos y qué requisitos mínimos debe cumplir tu empresa para no llevarte una sorpresa desagradable ante una inspección.
Definición de protección de datos
Para entender en profundidad qué es la Protección de datos, vamos a recurrir a la definición de la RAE:
«Conjunto de medidas para garantizar y proteger los datos de carácter personal (cualquier información concerniente a personas físicas identificadas o identificables) registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado, a los efectos de garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. «
Qué medidas debo aplicar a mi empresa
1. Designar a un responsable (o delegado) de protección de datos
Esta persona se encargará de velar por el cumplimiento del RGPD, estando constantemente atenta a los cambios legales y a que la empresa los cumpla.
No solo esa persona deberá estar formada en esta materia, todo el personal de la empresa deberá estar informado sobre la importancia de la protección de datos.
2. Tener un registro de tratamiento de datos
Es un documento donde se especifica qué datos recoge la empresa y para qué se utilizan. En este documento también deben constar las medidas de seguridad que se aplican, los tipos de fichero y si los datos son cedidos fuera del Espacio Económico Europeo.
3. Hacer un análisis de riesgos
Debemos recopilar en un documento el nivel de riesgo de los datos recogidos de los clientes o usuarios para así elaborar unas medidas de seguridad acordes a esa implicación. Si es de alto riesgo, deberá detallarse y, si es necesario, consultar previamente a la autoridad de control (art. 35 y 36, RGPD).
4. Base jurídica de los tratamientos
Dependiendo del tipo de empresa y del tipo de datos que recopile, se aplicará una normativa u otra de protección de datos. Existen 6 en Europa: interés vital del individuo, interés público, necesidad contractual, cumplimiento de obligaciones legales, consentimiento inequívoco de individuo e interés legítimo del responsable del tratamiento de datos.
5. Contar con el consentimiento explícito del cliente o usuario
Debemos añadir a nuestros formularios en papel u online una casilla donde se especifique que el individuo da sus datos de manera completamente voluntaria y consciente. Y no solo clientes o usuarios, también los propios trabajadores de la empresa.
6. Aplicar medidas de seguridad
Hablamos de cosas muy básicas que no siempre se cumplen. Contraseñas en los ordenadores, servidores y dispositivos de almacenamiento externos y software de protección como antivirus o cortafuegos para evitar ciberataques.
7. Desarrollar mecanismos de notificación
Si detectamos que hemos sufrido un ciberataque o que han vulnerado alguna otra medida de seguridad, debemos avisar a nuestros clientes en un plazo máximo de 72 horas. Si no lo hacemos, tendrán el derecho de denunciar y podrían aplicar la sanción correspondiente a la empresa.
Si quieres saber más sobre la protección de datos y los pasos a seguir para tu empresa, entra aquí o consúltanos.