RGPD : ¿Qué cambios supone en los datos de sus clientes?

¿Por qué una nueva ley sobre la gestión de datos personales?

A través del Reglamento General de Protección de Datos (GDPR), la Unión Europea pretende armonizar las prácticas de gestión de la información personal en todos los Estados miembro. El objetivo general es proteger a los ciudadanos y a las empresas contra el uso indebido de sus datos personales y simplificar las tareas administrativas para recuperar o incluso suprimir dichos datos.

Esta nueva ley, impone en particular nuevos requisitos de autorización. Cuando una empresa desee procesar los datos de un individuo, la solicitud de autorización debe estar claramente expresada. El consentimiento debe obtenerse mediante un acto positivo: es decir, no se podrán seguir utilizando los acuerdos tácitos o las casillas de verificación por defecto. Además, cualquier persona debe poder retirar la aceptación en cualquier momento.

Pasos a seguir por las empresas

Para cumplir y mantener el GDPR las empresas deben:

• Establecer un plan de cumplimiento priorizando las tareas que deben realizarse;
• Todas aquellas empresas que procesen datos sensibles a gran escala o un gran volumen de datos deben nombrar a un Responsable de la protección de datos (DPO – Data Protection Officer);
• Mapear los datos personales y mantener un registro de procesamiento actualizado;
• Establecer acciones de sensibilización y formación de los empleados, una política de gestión de los derechos de las personas, o incluso procesos de detección y notificación de violaciones de datos personales;
• Actualizar sus plantillas de contrato para incluir medidas de datos personales.

Cambios que las organizaciones deben tener en cuenta

La Ley GDPR conllevará cambios importantes en la forma en que las empresas deberán procesar los datos:

• Privacy by design : la ley sobre la protección de datos personales debe tenerse en cuenta desde la fase de diseño de un proyecto.
• Notificar las violaciones de seguridad: los controladores deben comunicar cualquier violación de la seguridad en un plazo de 72 horas a la autoridad supervisora y a las personas afectadas.
• Responsabilidad : toda organización tiene la obligación de demostrar a las autoridades de supervisión y a las personas interesadas que cumplen la ley. Para ello, deberán apoyarse en documentación interna.
• Ámbito geográfico : el GDPR se refiere a cualquier organización que tenga su sede social en la UE o que ofrezca bienes o servicios a los ciudadanos de la UE. Las organizaciones que procesan datos con fines de seguimiento del comportamiento del usuario también se ven afectadas.
• Ventanilla única : las empresas con filiales en varios países de la UE sólo podrán dirigirse a una única autoridad supervisora, es decir, la de su establecimiento principal.
• Responsabilidad del subcontratista : conforme al arítuclo 28 de GDPR, la responsabilidad del subcontratista es ahora mucho mayor.

En caso de inclumplir con el GDPR, las sanciones previstas son bastante severas ya que pueden llegar hasta el 4% de la facturación mundial de la empresa.

Nuevos derechos para las personas físicas

El principal objetivo de la reforma es dar una mayor visibilidad de la utilización de los datos personales, facilitando al mismo tiempo un mayor control sobre los mismos. Esta es la razón por la que la ley requiere que los responsables del tratamiento proporcionen mecanismos para que las personas ejerzan sus derechos, incluido el derecho al olvido. El principio de transparencia implica también que se informe a las personas físicas sobre el tipo de datos recogidos así como para qué van a ser utilizados.

Con la implementación del GDPR los nuevos clientes tienen derecho a:

• Portabilidad de datos. Cualquier persona afectada por el tratamiento de sus datos puede recuperar inmediatamente su información personal en un formato estructurado y legible. También tienen derecho a transmitir estos datos a otro controlador, por ejemplo en caso de cambiar de proveedor.
• Limitar el tratamiento. En algunos casos, el interesado puede ser responsable del tratamiento de sus datos y realizar algunas restricciones. Es decir, no se podrá realizar ninguna otra operación que no sea el almacenamiento de datos.
• Derecho a olvidar. Cualquier interesado tiene derecho a exigir la cancelación de sus datos personales lo antes posible. Si esta información se ha transmitido a otra entidad, el responsable del tratamiento deberá informar a los organismos que la han recibido de que el interesado ha solicitado la supresión de sus datos personales.

Leer también : GDPR: ¿Cómo tratar los datos personales en el negocio B2B?

A partir del 25 de mayo de 2018, los clientes tendrán nuevos derechos con respecto al uso de sus datos personales. Un paso adelante en términos de protección personal que los profesionales tendrán que cumplir bajo pena de sanción