Hoy, 25 de mayo, entra en vigor el Reglamento General de Protección de Datos, si eres una Pyme seguramente ya te has preparado y adoptado las medidas necesarias para cumplir con sus requisitos. El RGPD modifica algunos aspectos y contiene nuevas obligaciones que han debido ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias. Pero… ¿conoces exactamente cuales son los pasos que has debido dar para estar cumpliendo esta normativa?, presta atención que te lo contamos de la mano de SAFE, una agencia especializada en protección de datos. Sin lugar a duda, fue un placer encontrarlos, pues su forma de trabajar nos ha solventado a nosotros y a nuestros clientes todos los quebraderos de cabeza de la nueva normativa. Empezamos…
Analizar los riesgos.
Las medidas de seguridad que debe aplicar a partir de ahora tu negocio deben estar diseñadas en función a sus características, es decir que no hay un listado de medidas estándar que debas aplicar, sino que tú, que eres quien conoce tu empresa y sus procesos, debes analizar a qué riesgos está expuesta y tomar las medidas necesarias para eliminarlos o reducirlos al máximo. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos o que involucran información personal sensible no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles. Y por supuesto no debemos de olvidar todas aquellas herramientas que usamos para marketing en nuestra empresa deben ser también analizadas para asegurarnos que estas están cumpliendo con la normativa vigente.
Cómo legitimar tu base de datos.
Seguro que dispones de un archivo de clientes, un Excel con personas que te han ido pidiendo información, trabajas con un CRM para gestionar la relación con tus clientes o potenciales clientes. Estos datos no son de tu propiedad, solo los tienes en custodia y para poder almacenarlos y usarlos debes cumplir ciertos requisitos. El RGPD es mucho más estricto y exigente en este aspecto, pero en realidad es más fácil de lo que piensas cumplir sus requisitos. Te aconsejo que, antes de nada, te pares a pensar si los datos que contienen tus bases de datos son necesarios, en caso contrario, deberías eliminarlos ¿para qué los quieres si no los necesitas?, muchas veces sufrimos el síndrome de Diógenes y guardamos demasiada información que simplemente nos ocupa espacio. Ahora que ya has hecho limpieza debes pensar de dónde has obtenido esos datos, ¿te los ha facilitado directamente tu cliente? ¿los has obtenido de las redes sociales o de búsquedas por internet? Es muy importante que tengas en cuenta que encontrar información en buscadores o redes sociales no te habilita para utilizarla, tienes que cumplir unos requisitos para por ejemplo poder enviar información comercial a una dirección de correo que has encontrado en una web. Si tus datos provienen de una red social, como por ejemplo LinkedIn, ¿la cosa cambia?, en realidad NO. Si utilizas LinkedIn debes saber que cuando una persona acepta la invitación que le envías te está dando permiso para enviarle mensajes a través de la red social, pero no para mandarle un correo electrónico fuera de la aplicación. Esta es la clave, el consentimiento, si quieres enviarle un email, lo más sencillo es que le pidas permiso. Pero CUIDADO, porque ese consentimiento solo va a ser válido si antes le has contado que vas a hacer con sus datos: para qué los quieres utilizar, durante cuánto tiempo, dónde los vas a guardar, con quién los vas a compartir…etc. Hay dos maneras sencillas de poder utilizar tus bases de datos a partir de hoy, 25 de mayo; la primera ya la hemos comentado, le informas sobre lo que quieres hacer los datos que le pides, y le solicitas su permiso. La segunda, es que exista un contrato por el cual tu debas ofrecerle un servicio, podrás utilizar los datos que te facilite y usarlos con la finalidad de llevar a cabo ese servicio que te han encargado, pero no podrás utilizarlos con un fin distinto, para eso tendrás que recurrir a pedir su consentimiento.
Poder demostrarlo
Esta es una gran novedad, piensa que vas a visitar a un potencial cliente y te da una tarjeta de visita, seguro que contiene datos personales como su nombre, debes saber que se consideran datos personales aquellos que te pueden llevar a identificar a una persona. Bien, tienes la tarjeta y sabes que te la ha dado para que contactes con él, pero ¿puedes demostrarlo? Con el RGPD todo lo vas a tener que demostrar, deberás utilizar la imaginación para cumplir este requisito. De modo que ya tienes 3 condiciones a cumplir:
INFORMAR-PEDIR PERMISO-PODER DEMOSTRARLO
Una buena herramienta para poder demostrar que estás haciendo un trabajo para cumplir la normativa de protección de datos es crear un registro de actividades de tratamiento, al crearlo de paso ya estarás cumpliendo una de las nuevas obligaciones. Este registro sustituye la obligación de inscripción de ficheros en la Agencia Española de Protección de Datos y te servirá como hoja de ruta para conocer si lo que haces para proteger los datos realmente está funcionando. Utiliza el registro como un diario de abordo, anota qué datos recoges, con qué motivo, cuanto tiempo tienes previsto guardarlos, con quien los compartes, también debes indicar si algún colaborador te facilita datos personales y con qué finalidad, anota también las medidas de seguridad que estas aplicando, las revisiones previstas… en conclusión, anótalo todo para dejar constancia.
Nombrando responsables
Debes saber que tú, como responsable del tratamiento o del fichero, tienes la responsabilidad de hacer todo lo que sea necesario para proteger los datos personales que custodia tu empresa, además el RGPD te pide que seas proactivo, es decir, que tengas iniciativa y capacidad para anticiparte a los problemas o necesidades futuras. Pero no pretendas realizar este trabajo solo, debes rodearte de un equipo de personas que colaboren contigo, asígnales tareas y supervisa que las realizan correctamente. Al menos debes nombrar un responsable de seguridad en materia de protección de datos, que se encargará de coordinar todas las tareas durante el periodo de adaptación a la normativa, y también más tarde, cuando se vayan revisando y auditando todos los procesos. Esta persona deberá tener algunos conocimientos básicos sobre la normativa y deberá ser capaz de resolver las dudas de los trabajadores, conociendo todos los protocolos creados para cumplir la normativa. Seguro que has escuchado hablar sobre la nueva figura del Delegado de Protección de Datos, ¿sabes si necesitas uno para tu pyme? Deberás nombrar siempre un DPO si eres un organismo público y en caso de no serlo dependerá de las actividades principales de tratamiento que realice tu organización:
- Si consisten en tratamientos que, por su naturaleza, alcance y/o fines requieran una observación habitual y sistemática a gran escala.
- Si consisten en el tratamiento a gran escala de categorías especiales de datos.
Lo más sencillo es consultar esta opción con un experto pues este evaluará el flujo de datos dentro de tu empresa y te dirá con seguridad si necesitas o no un DPO; además en caso de no necesitarlo te deberá hacer un certificado que diga que no lo necesitas y por qué.
Creando contratos de confidencialidad sólidos.
A partir de ahora debes cambiar tu mentalidad ante la normativa de protección de datos, no lo tomes como un trámite más, un listado de tareas a realizar para cumplir ciertas obligaciones legales. Proteger los datos en tu empresa debe ser una cultura, una parte más de tu trabajo que se realiza para ganar la confianza de tus clientes y colaboradores, ganando reputación y ofreciendo seguridad en el servicio que ofreces. A partir de hoy no solo eres responsable de los que tu organización hace con los datos que custodias, además eres responsable de lo que otros hacen con estos datos. Seguro que tienes alguien que te ayuda, te hace la contabilidad, las nóminas, te revisa los ordenadores, te dice si tus trabajadores son aptos o no, para su trabajo, les gestiona las revisiones de salud, un experto en temas judiciales, alguien que limpia tu oficina, que te destruye documentos, que envía tus paquetes…. Todos estos servicios que utilizas, tienen acceso a datos personales que están bajo tu custodia. La nueva normativa te pide que supervises estas relaciones y te asegures de que, como tú, están protegiendo los datos de carácter personal. ¿Cómo?… lo más fácil es hacerles firmar un contrato, pero no cualquier documento, debe ser un contrato donde quede reflejado exactamente para qué pueden utilizar los datos, las medidas de seguridad que deben aplicar, que te informen de con quién los van a compartir…. Este contrato, bien redactado, te da un respaldo y deriva la responsabilidad de una mala gestión de los datos en el verdadero infractor, quedando tu negocio libre de sanciones que pueden ser impuestas por infracciones que puedan cometer tus servicios externos.
Formando equipo con tus trabajadores.
La formación de tus trabajadores es esencial, si los tienes es porque los necesitas, su trabajo es importante y deben realizarlo bajo ciertas directrices, deben conocer qué pueden hacer y que no pueden hacer con los datos personales que la empresa custodia. Muchos errores humanos son evitables con información y prevención, deben conocer los protocolos que ha implantado tu empresa para proteger los datos personales y comprometerse a cumplirlos. Es importante que dispongan de un manual de usuario y que conozcan quién es la persona de la empresa responsable de seguridad en materia de protección de datos. ¿Cómo se demuestra ese compromiso? Es fácil, también deben firmar contratos de confidencialidad redactados para definir sus responsabilidades.
Violaciones de seguridad.
Desde ya debes estar muy alerta pues si sucediera en tu organización una violación de seguridad deberás comunicarlo a la Agencia Española de Protección de Datos antes de 72h. Pero… ¿qué es exactamente una violación de seguridad?, pues es cualquier incidente de seguridad que puede afectar a la confidencialidad, disponibilidad o integridad de los datos. Por ejemplo, mandar un correo electrónico a varios destinatarios sin copia oculta; la pérdida de un portátil con datos de carácter personal; ser víctima de un ataque de ransomware por el cual te cifran información de la empresa…etc. Además, si el incidente que se ha producido puede afectar gravemente al propietario de los datos, entonces además deberás contactar con él y explicarle lo sucedido, cómo se ha solucionado y las medidas preventivas que estás aplicando para que no vuelva a ocurrir.
Derechos
Ya debes saber gestionar una solicitud de derechos, hasta ahora estabas preparado para los famosos ARCO: acceso, rectificación, cancelación y oposición. Hoy se suman unos cuantos derechos más que debes conocer y para los cuales has tenido que crear los protocolos necesarios para poder atenderlos.
- Derecho a la portabilidad: es la posibilidad de trasladar los datos a otros proveedores de servicio en un formato estructurado, de uso común y legible por máquina.
- Derecho a conocer la existencia de decisiones automatizadas, la elaboración de perfiles y sus consecuencias.
- Derecho a la limitación del tratamiento: poder decidir para qué se utilizarán los datos, puedes aceptar que se usen para gestionar un servicio y también puedes oponerte que se utilicen para enviarte información comercial, por ejemplo.
- Derecho a presentar una reclamación ante la Agencia Española de Protección de Datos.
Si no sabes, pregunta.
Si en realidad lo que quieres es disponer de la tranquilidad, seguro de que tu pyme está cumpliendo el RGPD, lo que debes hacer es buscar asesoramiento. No puedes ser experto en todo, adaptar tu empresa a la normativa requiere un proceso que se debe abordar desde el pleno conocimiento de la ley y de tus procesos. Pide ayuda experta, que te auditen en caso necesario y te digan exactamente qué te falta por hacer. Un asesor debe ser alguien que te ofrezca confianza y que forme parte de tu equipo, que resuelva tus problemas y dudas rápidamente y, sobre todo, alguien que conozca tu empresa y sepa exactamente lo que necesitas.