Preguntas frecuentes sobre El Reglamento General De Protección de Datos (RGPD)
Esto es un texto que hoy redacte, para intentar explicar un poco el nuevo reglamento de protección de datos a los clientes de C2o Comunicación y ya que lo hice, voy a compartirlo con todos vosotros
Pongámonos en antecedentes ¿Qué es el RGPD conocido coloquialmente como ley de protección de datos?
Resumiendo mucho, la «ley de protección de datos» es el conjunto de normas, estándares y procedimientos que regula el uso que se le da a los datos personales de personas físicas que tratamos diariamente en nuestros negocios, web, mails etc..
¿Quién está obligado a cumplir el RGPD?
Todo profesional, autónomo, empresa pública, privada, ONG, comunidad de vecino, club etc… En definitiva cualquier entidad que trate, use, recabe, almacene, custodie etc, datos personales de personas físicas.
¿Tengo una web estoy obligado a cumplir con el RGPD «ley de protección de datos»?
Rotundamente sí, pero la obligación no viene dada por tener una web, o solo habría que adaptar la web al nuevo reglamento, no, la que se tiene que adaptar al cumplimiento de la ley es la empresa o entidad propietaria de esa web, que es la que realmente hace un tratamiento de los datos personales que se puedan recabar a través de la web.
¡Pero si yo no tengo una tienda online!
Da igual, en las web se recaban datos personales de muchas formas, formulario de contacto, blog participativos, chat etc…
La ley obliga a todas las entidades que traten datos de carácter persona a adaptarse al nuevo reglamento europeo cuyo plazo de adaptación termina hoy día 25 de Mayo de 2018. Sí plazo de adaptación, ya que este reglamento entro en vigor en 2016 y teníamos un plazo de 2 años para que las empresas españolas migraran de la antigua LOPD al nuevo RGPD.
Por tanto, no es el apocalipsis, los que no cumplían en enero de 2018, estaban incurriendo en la misma irregularidad que los que no cumplan el día 26 de mayo.
Volviendo al cumplimiento de la ley, esta engloba todos los aspectos en los que tratemos datos personales, de manera informatizada, los ordenadores, móviles, discos duros portátiles, Tablet, etc y los que tratemos en papel, archivadores, agendas, fichas de clientes, formularios de alta de clientes etc.
Cada uno de estos soportes tendrá que tener unas medidas de seguridad y unos procedimientos de organización, clasificación acceso, borrado etc. Estos “protocolos” se establecerán en el llamado Documento de Seguridad que es una relación por escrito de qué tipo de datos tratamos, como los tratamos, quien tiene acceso a ellos, en que soporte los tenemos y sobre todo que medidas de seguridad tenemos adoptadas para salvaguardar su integridad su disponibilidad y protegerlos de perdidas, robos o acceso no autorizados entre otras cosas.
Ese documento de seguridad es el que redactará una empresa especializada con las conclusiones que obtenga de la realización de una auditoria preliminar en la que se identificaran y evaluaran los riesgos a los que están expuestos los datos y se establecerán las medidas a adoptar para paliar esos riesgos.
Como comprenderéis estas acciones no se pueden realizar sin una entrevista personal con los encargados de tratar esos datos y presencialmente en sus instalaciones para comprobar in situ, como se tratan, se almacenan y se gestionan esos datos, por tanto, mucho ojo con las empresas que os ofrezcan servicios de consultoría en materia de protección de datos a través del teléfono, lo habitual será, que pagareis un servicio que no os valdrá de nada y lo que es peor, tendréis una falsa tranquilidad de que estáis cumpliendo con la normativa.
El RGPD establece claramente el principio de responsabilidad proactiva, esto supone que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. Vamos que si tenéis un documento de seguridad y no lo aplicáis y cumplís, de nada os vale.
La adaptación de una empresa al RGPD se pude resumir en estas acciones.
- Evaluación de riesgos en el tratamiento de datos personales.
- Identificación de riesgos
- Redacción del documento de seguridad a partir de las conclusiones extraídas en la evaluación de riesgos, en el que se incluirán las medidas de protección y estándares a adoptar para salvaguardar los ficheros que contengan datos personales. Y CUMPLIRLAS
- Registros de los ficheros en la Agencia Española de Protección de Datos
- Redacción del Manual para el Responsable del tratamiento
- Redacción del manual para los usuarios y trabajadores.
- Elaboración de anexos para los contratos laborales de los trabajadores.
- Redacción de los acuerdos de confidencialidad que tendrán que firmarle los receptores de datos personales ( por ejemplo Gestoría, autónomos, autónomos colaboradores etc…)
- Realización de los anexos pertinentes, registro de usuarios, inventario de soporte, registros de copias de seguridad etc…
- Medidas de comunicación ante fallas de seguridad.
- Redacción de coletillas legales para comunicaciones electrónicas, facturas, albaranes etc…
- Auditoria de la web corporativa, proponiendo las mejoras y correcciones necesarias para el cumplimiento de la LSSI-CE.
Como veis, de nada serviría tener una web que cumple la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-Ce), si luego la empresa no cumple con el RGPD o viceversa, tener la empresa bien preparada y tener una web que no cumpla la normativa vigente.
si tenéis dudas podéis comentar en el blog o poneros en contacto con nosotros