Legislación GDPR: Qué Deben Hacer las Empresas a Continuación
Jack Hodges
Oct 24, 2017
∙
8 min read
GDPR
El RGPD proporciona a los ciudadanos europeos derechos cruciales de protección de datos, pero ¿qué pasos deberían tomar las empresas a continuación para cumplir? Echemos un vistazo. Hace poco tiempo, examinamos la próxima legislación de protección de datos RGPD, los derechos que otorga a las personas dentro de la UE, y cómo las empresas pueden verse afectadas. Esta nueva legislación ayuda a reforzar, actualizar y unificar las leyes de protección de datos en todos los estados miembros de la UE y llevarlas al mundo digital.
Dependiendo de la naturaleza de su negocio y las operaciones que lleva a cabo, cuánto afectará el RGPD a su empresa variará enormemente. Echemos un vistazo a algunos pasos iniciales que todas las empresas deberían tomar para ayudar a mantenerse en cumplimiento con la nueva normativa.
En primer lugar, familiarícese con la nueva legislación consultando esta descripción general de la ICO, este sitio de la Universidad de Roskilde, así como nuestro artículo anterior aquí.
Tabla de Contenidos
Sea Consciente de Sus Datos
En primer lugar, es importante reacostumbrarse al papel que los datos desempeñan dentro de su organización, y cómo los datos pertenecientes a individuos fluyen tanto interna como externamente. Haga un inventario de los datos actuales que posee o procesa, establezca por qué lleva a cabo estas acciones, y forme una imagen de lo que hace con los datos. Además de familiarizarse con sus prácticas actuales de datos en el contexto del RGPD, este ejercicio también podría proporcionar oportunidades útiles para optimizar las operaciones actuales.
Recuerde que esta normativa se relaciona con cualquier dato perteneciente a individuos, y no se limita a datos de prospectos y clientes; la información personal sobre su personal también cuenta. Esto podría incluir cosas como registros de RRHH, nómina, detalles de contacto personal así como información y historial de pagos.
Evalúe su base legal para mantener y procesar cualquier dato de este tipo, y establezca si hay algún dato redundante o no esencial que se esté manteniendo. También necesita estar consciente de cómo se almacenan esos datos y qué tan seguro es cualquier medio de almacenamiento de datos. Refuerce las defensas y aborde cualquier problema potencial de seguridad como violaciones, filtraciones o hackeos.
Una vez que tenga una imagen completa del papel que los datos desempeñan en su organización, estudie cuidadosamente la nueva legislación y explore los nuevos derechos disponibles para las personas. Evalúe honestamente qué tan compatibles son sus sistemas actuales con las nuevas reglas, y tome nota de cualquier lugar donde sus procesos existentes de datos necesitarán cambiar.
Establezca qué necesita alterarse y designe un Oficial de Protección de Datos para que tome responsabilidad de su cumplimiento. Su DPO también debería mantener a su equipo consciente de sus nuevas responsabilidades bajo la nueva legislación, y debería generalmente ayudarle a lograr el objetivo de cumplimiento total antes del 25 de mayo de 2018.
Consentimiento y Deseos de las Personas
El consentimiento es un concepto importante que sustenta el RGPD, y necesita ser dado activa y libremente por la persona. Cuando se busque consentimiento, necesita declarar explícitamente qué almacenamiento y procesamiento de datos llevará a cabo. Las adhesiones suaves, el consentimiento implícito y el consentimiento a través de casillas pre-marcadas o inacción ya no están permitidos.
Cuando examine sus prácticas existentes de datos, establezca qué está haciendo actualmente con los datos y cómo las personas relacionadas han optado por participar. Si el consentimiento ha sido meramente implícito, entonces necesita buscar consentimiento apropiado e informado inmediatamente antes de que puedan tener lugar acciones adicionales con los datos. También asegúrese de que las prácticas futuras de recolección de datos permitan que las personas consientan conscientemente a sus acciones previstas en el futuro. Todos los métodos para el consentimiento necesitan ser comprobables y auditables en caso de que alguien haga una reclamación contra su empresa diciendo que ha usado sus datos sin permiso. Si los datos de las personas fluyen fuera de la organización, también puede requerirse consentimiento adicional.
Un uso común de datos por las empresas en el día a día es el envío de comunicaciones de marketing. Las reglas del RGPD establecen que se debe buscar permiso explícito para que el contacto de marketing continúe, e incluso si se ha dado consentimiento en el pasado, optar por no participar debería ser fácil para la persona.
Si usa sistemas de perfilado automatizados que toman decisiones legales o financieras significativas sobre individuos sin intervención humana (por ejemplo, perfilado para elegibilidad de seguros), necesita estar consciente de los nuevos derechos para optar por no participar/objetar de estas prácticas. Si su empresa usa este tipo de perfilado, debería implementar sistemas que permitan a las personas buscar una segunda opinión de un tomador de decisiones humano y dar su versión de la historia.
Porque las personas ahora tendrán derecho a objetar de ciertos usos de sus datos, debe mantener los datos pertenecientes a cualquier tipo de objetor separados para asegurar que sus datos no sean usados para una actividad sin consentimiento, incluso por accidente.
Una vez que haya determinado sus bases legales para almacenamiento, procesamiento y cualquier otra actividad que lleve a cabo con los datos de las personas, debe actualizar su política de privacidad (y posiblemente también sus términos y condiciones) para reflejar sus nuevas actividades compatibles; para notificar a las personas del consentimiento que le están dando; y para hacerles conscientes de sus derechos de acceso, objeción y eliminación.
Acceso Informativo y Precisión
Las personas ahora tendrán el derecho a rectificación, por lo que necesita asegurarse de que sus sistemas permitan que cualquier dato incorrecto mantenido sobre las personas sea editado fácil y auditablemente, o para la eliminación completa de datos identificables si la persona lo desea.
Las personas también tendrán derechos de acceso, lo que significa que podrán solicitar una copia digital de cualquier dato que mantenga sobre ellas. Anteriormente había una tarifa de PS10 pagable por la persona para dicho acceso bajo la Ley de Protección de Datos; pero el acceso bajo el RGPD tiene que ser proporcionado gratis a menos que la solicitud sea "manifiestamente infundada o excesiva", en cuyo caso se puede cobrar una "tarifa razonable".
Si exportar una copia digital de los datos de alguien es difícil o laborioso bajo sus sistemas actuales, lo más probable es que valga la pena hacer el proceso más fácil mientras ajusta sus sistemas en línea con la nueva normativa.
Sea consciente de que las personas tendrán derecho a preguntar si mantiene datos sobre ellas, qué datos mantiene, por qué los mantiene, qué hace con ellos, y cuánto tiempo intenta mantenerlos. Entrene a su personal en sus nuevas políticas de privacidad para que tengan las respuestas a estas preguntas listas. Siempre asegúrese de que sus respuestas sean razonables y den una base legal sólida para llevar a cabo sus actividades.
Prepárese para Posibles Violaciones de Datos
Mientras rediseña y reenmarca sus procesos alrededor de la nueva legislación, también incorpore sistemas para alertar a su equipo sobre cualquier posible violación de datos. Estos sistemas también deberían ayudar a proporcionar una evaluación de la severidad de cualquier filtración y permitir investigación adicional sobre lo que salió mal.
Dependiendo de la severidad de la violación, también puede necesitar reportarla a su autoridad supervisora, e investigar qué pasó. Asegúrese de que los hallazgos de su investigación también puedan ser reportados al organismo supervisor según sea apropiado.
Un Par de Condiciones Específicas
Si almacena o procesa datos pertenecientes a niños, hay responsabilidades aumentadas para proteger sus intereses bajo el RGPD. Si proporciona servicios a menores de 16 años, necesita proporcionar avisos de privacidad en lenguaje que entenderán. Los servicios en línea proporcionados a menores de 16 años que involucren procesamiento de datos pueden requerir consentimiento de un padre o tutor para procesar los datos del niño.
Si es una autoridad pública (con algunas excepciones para tribunales); una organización que monitorea individuos en masa; o una organización que procesa detalles personales como registros de salud o criminales, debe designar un Oficial de Protección de Datos.
DESCARGO DE RESPONSABILIDAD: Esta publicación de blog se proporciona solo como una guía para la nueva legislación RGPD y no debe considerarse consejo legal. Quality Systems Solutions Ltd le aconseja buscar su propio consejo legal apropiado.
Michael King says...
"I can’t think of a time where a client has requested something that we weren’t able to do with FiveCRM. Unlike most systems, it has a lot of flexibility."
Managing Director, Senior Response
JAINE HUSBANDS SAYS...
“Each client, and each of their campaigns, has its own unique specifications. We essentially needed to set up mini CRMs on one platform to meet those requirements.”
Operations Director, Team Marketing
Why wait?
Start improving your outbound efficiency now, with the most customizable Sales solution on the market.