RGPD : ¿Como tratar los datos personales en el negocio B2B?

Publicado el 25 Abril 2018

GDPR datos pesonales negocio b2b2
Image-Aurore-gambelou
Gambelou
Aurore
DPO Generix Group
Categorías
Regulaciones

El 25 de mayo de 2018 entrará en vigor el GDPR, el nuevo reglamento europeo sobre el uso de datos personales. A un 1 mes de la fecha de entrada en vigor, es hora de echar un vistazo a las restricciones que pronto se impondrán a todas las empresas. Desciframos las obligaciones y los cambios que las empresas B2B deben adoptar.

¿Qué es el GDPR ?

El General Data Protection Regulation (Reglamento General de Protección de Datos), o GDPR, es un reglamento impuesto a nivel europeo que se aplicará a partir del 25 de mayo de 2018 a todas las empresas que operan en la UE. ¿El objetivo? Regular la forma en que las empresas, con o sin sede física en la UE, utilizan los datos de los clientes. Se trata de un reto estratégico importante para las empresas, ya que en caso de incumplimiento se aplicaran sanciones financieras importantes (hasta el 4% del volumen de negocios mundial de una empresa).

Este nuevo Reglamento refuerza las obligaciones profesionales en materia de tratamiento de datos personales. A diferencia del enfoque adoptado inicialmente en Francia por la Agencia Francesa de Protección de Datos (CNIL), el GDPR no impone la notificación previa. Las empresas deben poder certificar, en todo momento, el cumplimiento de la normativa de protección de datos, en particular mediante el mantenimiento de un registro de las actividades de tratamiento.

Según el GDPR, se entiende por datos personales cualquier información relativa a una persona física identificada o identificable: identidad, dirección de correo electrónico del contacto, datos de contacto, dirección IP, etc. Todas las empresas con bases de datos de clientes se ven afectadas y deben, a partir de ahora, entrar en una fase de transición.

Privacy by design/by default: tener en cuenta la protección de datos personales desde el principio

Las nociones "Privacy by design" y "Privacy by default" revelan la necesidad de considerar la protección de datos personales desde el inicio del proyecto. Esto también significa que sólo deben recogerse y procesarse los datos estrictamente necesarios para que la empresa alcance sus objetivos, los cuales deben ser claramente transmitidos.

Para cumplir con el GDPR, la forma en que se conciben los nuevos sistemas de información tendrá que cambiar o tendrán que ser completamente rediseñados. La "Privacy by design" afecta particularmente a los desarrolladores de software y a las empresas que intentan implementar herramientas basadas en datos, como un CRM.

Designación de un RPD y notificación de violaciones de datos personales

Para facilitar la aplicación de las medidas en la empresa, el GDPR ha creado el cargo de responsable de la protección de datos (RPD). La designación de un RPD es obligatoria en:

  • autoridades u organismos públicos;
  • empresas cuyas actividades principales requieren un seguimiento regular y sistemático de los datos de los clientes a gran escala;
  • empresas que procesan datos sensibles.

Las empresas que no están inicialmente sujetas a esta obligación también deben designar a un RPD para que demuestre que han comprendido la magnitud de los retos que plantea la protección de datos.

Designados en función de su experiencia en materia de derecho y de protección de datos personales, los RPD asumen el papel de conductores de la protección de datos en la empresa. Sus tareas incluyen:

  • informar y asesorar al responsable del tratamiento y a los empleados que realicen el tratamiento o la externalización de sus obligaciones en virtud del presente Reglamento;
  • ofrecer asesoramiento sobre la evaluación de impacto de la protección de datos;
  • será el punto de contacto de la autoridad supervisora encargada de la inspección de las empresas.

Además de designar un RPD, el GDPR también establece la obligación de notificar las violaciones de datos. Esta obligación recae en el responsable del tratamiento encargado de notificar las infracciones a la autoridad de protección de datos.

Análisis del impacto sobre el derecho a la intimidad

Para todos los nuevos proyectos que impliquen el tratamiento de datos personales, la parte instructora y su responsable deberán determinar en primer lugar si el proyecto afectará a los derechos de privacidad de las personas implicadas. Si la respuesta es afirmativa, deben demostrar que el proyecto cumple con la noción de "Privacy by design". Es importante destacar que el subcontratista ya no es responsable de este trabajo previo, que ahora es responsabilidad del instructor.

Derecho a la portabilidad de los datos personales

El GDPR también establece el derecho de los individuos a que se les devuelva la información que les concierne y que las empresas han procesado. Estos datos pueden transferirse a un tercero si es necesario.

Para que las empresas puedan responder a las solicitudes de datos, deben implantar un sistema de acceso a todos los datos recogidos sobre un individuo. Estas empresas, que pueden ser farmacias, bancos o compañías de seguros, están ahora obligadas a transmitir todos los datos en formato no cifrado a la persona en cuestión o a otro controlador.

Obligación de informar al cliente de las finalidades de la recogida de datos

Esta medida, establecida antes de la publicación del GDPR, se ha reforzado con este reglamento. Para la recogida de datos personales, el cliente debe conocer y dar libremente su consentimiento después de ser informado específicamente sobre ello. Este consentimiento corresponde a una finalidad definida y no puede atribuirse a un conjunto de aplicaciones, por similares que sean.

Con el fin de garantizar la seguridad de las operaciones de la empresa, la recopilación y el procesamiento de datos tendrán que normalizarse primero, lo que representa una inversión importante para los departamentos de marketing.

 

Fuente Imagen : Flickr Creative Commons – Franck Buschman