El próximo mes de mayo entra en vigor el Reglamento General de Protección de Datos (RGPD) a nivel europeo.
Como PYME, su normativa te afecta, y queda poco tiempo para adaptarse a él.
QUÉ ES EL RGPD
El Reglamento General sobre Protección de Datos (RGPD) viene a establecer una nueva regulación sobre el tratamiento de los datos personales. Y aunque a veces ni caigamos en la cuenta, en innumerables ocasiones recabamos información personal que está protegida por dicha normativa. Lo hacemos, por ejemplo, cada vez que pedimos rellenar una ficha de contacto al visitar nuestra web o cuando solicitamos información telefónica o presencial a nuestros clientes.
Esta normativa será de obligatorio cumplimiento desde el día 25 de mayo y de aplicación en todo el territorio de la Unión Europea (UE), el Reino Unido (tras su salida del espacio comunitario en 2019) y todas las empresas que, siendo de fuera, ofrezcan bienes o servicios a personas o controlen su comportamiento dentro de la UE.
Están obligadas a adecuarse a su articulado todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de la totalidad de los Estados miembros.
CLAVES DEL RGPD
Si tienes claro que tienes que adecuar tu gestión de los datos a la nueva normativa y sabes en qué términos, atento al listado de claves básicas del RGPD que debes tener en cuenta:
1. Se amplía el derecho de las personas a conocer la finalidad y el tratamiento de sus datos personales cuando le sean solicitados.
2. Para pedir datos personales hay que hacerlo mediante una declaración clara y expresa. ¿Te acuerdas de la casilla en una plantilla fija de tu web donde venía la
información sobre la protección de datos? Podrás seguir poniéndola, pero ¡cuidado! porque en ningún caso podrá estar premarcada.
Los menores de edad podrán prestar consentimiento para el tratamiento de datos a los 13 años de edad, cuando anteriormente era a los 14 años. 3. Los datos tienen que ser recogidos de manera limitada a lo necesario ya que tienen que tener un fin previamente establecido que además tiene que ser legítimo. Además, sólo pueden usarse para los fines estipulados desde el inicio, cualquier otro uso, en principio, es considerado ilícito.
4. El interesado tiene derecho a mover, copiar o transferir de manera personal sus datos a otra empresa, incluso cuando quiera llevárselos a la competencia.
5. Si existen violaciones en la seguridad de la protección de datos, los responsables de éstos tienen que avisar a las autoridades competentes en menos de 72 horas.
6. Solo estarás obligado a designar a un Delegado de Protección de Datos (DPO) si tu empresa lleva a cabo una observación habitual y sistemática de interesados y si tratas a gran escala categorías especiales de datos.
7. Está prohibido enviar datos personales fuera de Espacio Económico Europeo a un país que no ofrezca la suficiente protección a los mismos. En caso de no existir una garantía, esa transferencia puede estar limitada con determinadas cláusulas contractuales.
8. Y cuidado con no adecuarse al RGPD porque se prevén sanciones al incumplimiento que podrán llegar a los 20 millones de euros o al 4% del volumen de negocio en caso de ser una empresa.
APLICACIÓN DEL RGPD EN ESPAÑA. CUESTIONES PRÁCTICAS
Con la entrada en vigor del RGPD llegará a nuestro país una nueva Ley Orgánica – actualmente se está tramitando el proyecto en el Congreso –, la que, a su vez, deberá ir acompañada de un nuevo reglamento y otra normativa de desarrollo, en los que la Agencia Española de Protección de Datos (AEPD) ya está trabajando en su desarrollo. Para ayudar a las PYMES en esa transición, la AEPD ha elaborado tres guías que publicamos en enero de 2017: la Guía para el responsable del tratamiento , la Guía sobre el deber de informar y las Directrices para la elaboración del contrato entre el responsable y el encargado del tratamiento .
Así mismo, pensando en cómo ayudar a las PYMES, por la AEPD se ha desarrollado la herramienta gratuita » Facilita RGPD» , la que facilita, como su propio nombre indica, el cumplimiento de las obligaciones derivadas del Reglamento. Se trata de una herramienta sencilla de cumplimentar, en 15 o 20 minutos, y que genera las cláusulas informativas relativas a los diferentes tratamientos de datos que realice (por ejemplo, clientes o proveedores), informa también sobre las medidas fundamentales a adoptar en materia de seguridad e informa sobre el modelo de contrato a concertar con el encargado del tratamiento.
Aunque el Reglamento está vigente desde el 2016, se ha dado todo este tiempo de plazo para adecuarse a esta nueva normativa europea, así que recuerda poner a punto tus procedimientos antes del 25 de mayo.
Como siempre, desde HFC-Legal, atentos a las distintas necesidades de las PYMES, estamos a vuestra disposición para asesoraros en la cumplimentación de las nuevas obligaciones normativas.