Estamos a tan sólo cinco meses para la entrada en vigor del Reglamento General de Protección de Datos. En DCD te queremos informar de lo que debes hacer para estar preparado:
Contenidos
Auditoría de datos
Las empresas deben llevar a cabo una auditoría de datos para identificar las áreas donde se deben tomar medidas para garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD). No existe una forma establecida de llevar a cabo la auditoría, pero se debe llegar a entender cómo se encuentran todos los datos personales en una empresa: de dónde provienen esos datos y dónde / cómo se almacenan, qué sucede con ellos mientras forman parte de la empresa y cuándo y cómo se borran.
Además, cuando se identifiquen áreas de incumplimiento o cuando las actividades presenten un claro riesgo, la empresa deberá formular un plan para abordarlas.
Revisión de contratos y políticas de empleo
Conforme al RGPD, el consentimiento debe ser específico, informado y gratuito, lo que significa que las personas deben tener la opción de aceptar o no el procesamiento de sus datos y deben poder rechazar o retirar el consentimiento. Es muy común que una empresa tenga cláusulas generales de consentimiento para «aceptar todo» en contratos o políticas de protección de datos. Estas cláusulas ya no serán formas válidas de consentimiento y se deberán revisar los contratos de trabajo y las políticas para decidir si se debe confiar en el consentimiento y, en caso afirmativo, en qué forma.
Revisión de políticas de datos
La política de datos de la empresa necesitará ser revisada y actualizada estableciendo claramente:
- qué son los datos personales y por qué la protección de datos es importante;
- información sobre la recopilación y uso de los datos personales: en base a qué y por qué se procesa;
- cuáles son los derechos de datos de los empleados y cómo asegura la empresa que éstos son respetados;
- cómo se tratan las infracciones de datos; y
- las consecuencias, para la empresa y el individuo, en caso de incumplimiento.
La política también debe establecer cuándo y cómo se eliminan los datos personales. Debe incluir el nuevo «derecho al olvido», que exige eliminar los datos personales cuando ya no son necesarios para el propósito con el cual fueron recopilados o cuando el consentimiento ha sido retirado.
Infracción de datos
El RGPD introducirá el deber para todas las empresas de informar ante cualquier violación de datos dentro de las 72 horas siguientes, a menos que no presente riesgo para los derechos y libertades de la persona afectada. Si la violación es de alto riesgo, la persona también puede necesitar ser notificada.
Por lo tanto, las empresas deben contar con un procedimiento de informe interno, que debe incluir:
- orientación sobre lo que constituye una violación de datos;
- protocolos de toma de decisiones sobre si las notificaciones son necesarias, quién será responsable de tales notificaciones y plazos; y
- sistemas de registro para todas las infracciones.
Formación del personal de la empresa
Un personal debidamente cualificado marca la diferencia, no solo para demostrar el compromiso de una empresa de respetar los principios de protección de datos dentro del RGPD, sino también para garantizar que los datos de los empleados se obtienen, almacenan, procesan y eliminan de forma correcta y legal, y para ayudar a prevenir cualquier violación de datos. Todo el personal debe estar formado en el manejo de los datos.
Si sigues nuestros pasos, estarás listo para recibir al nuevo Reglamento General de Protección de Datos el próximo 25 de mayo de 2018.