web-enzyme-v2-logo-white
logo-enzyme-2-blog

La guía definitiva de GDPR para PYMES

seguridad y GDPR

Contexto actual de la GDPR

El 25 de mayo 2018 termina la fase de transición de la GDPR, lo que en términos prácticos significa que se activan las sanciones en caso de vulneración de la ley. Para empresas medianas y pequeñas existe cierta preocupación sobre el impacto que la GDPR puede tener en su negocio y en su capacidad para atender las exigencias de la ley.

 

Quick check a tener en cuenta

A continuación, detallamos las preguntas claves que todo empresario debe saber contestar sobre la GDPR:

Pregunta

Detalle

Ejemplos

¿Qué datos personales manejamos en la empresa?

Colectivos de personas de los cuales almacenamos datos.

Datos de personas físicas, aunque fuera en representación de personas jurídicas (pueden ser empleados, clientes, usuarios, proveedores, ....)

Nombre, dirección postal, email, teléfono de trabajo, teléfono móvil, ...

¿Manejamos datos críticos?

Datos sobre salud, religión, orientación sexual, ...

Historial médico, estado civil, pertenencia a un sindicato, ....

¿Hacemos “profiling” y procesamos de forma automática y masiva datos personales?

Profiling se refiere al cruce de datos con el fin de deducir otros datos personales, incluso datos críticos o identificar personas supuestamente anónimas.

Automático se refiere a la toma decisiones que afectan basadas en datos personales y que afectan a una persona sin que haya intervención humana.

Incluye el envío masivo y automático de mensajes a segmentos de colectivos concretos, normalmente fruto de un profiling.

Masculino, vive en Madrid, le gusta el futbol, compra entradas del Bernabeu = Hincha Real Madrid.

<18 años = no puede acceder

Enviar mail a todos los que viven en Alcobendas, que sean mujer, que tengan más que 75 años, que tengan >100.000€ para ofrecer un plan de pensiones

¿Dónde se almacenan los datos?

Aclaración del soporte y formato utilizado y ubicación física.

Clientes en CRM SAP, empleados en hoja excel, ...

¿Trabajo con proveedores externos que procesan datos personales para nosotros?

Aclaración sobre contrato de procesamiento de terceros

Supervisión del acuerdo

Compatibilidad del acuerdo con GDPR y política de protección de datos.

Mailchimp para realizar Newsletter

Acuerdo sobre política Opt-In

Control mensual sobre cumplimiento Opt-In

¿Transferimos datos fuera de las fronteras de la Comunidad Europea?

Aclaración sobre la transferencia de datos personales almacenados en la Comunidad Europea a país fuera de la comunidad.

Enviamos una lista del personal anonimizado a la central en Langton, Virginia.

¿Quién tiene acceso a los datos personales y como puedo saber quien ha accedido?

Aclaración sobre quién puede acceder a los datos (respectivamente las precauciones que nadie más acceda).

Aclaración sobre cómo se organiza la trazabilidad de acceso para asegurar la integridad y protección de los datos.

Clientes. Todo el personal comercial. Empleados. Solamente HR.

¿Cómo organizamos la captura del consentimiento de los propietarios de los datos y cómo ellos pueden ejercer sus derechos?

Aclaración sobre el proceso de conseguir el consentimiento de los propietarios de los datos personales.

Aclaración sobre cómo una persona puede ejercer sus derechos (consulta, modificación, cancelación, retracción, ...)

Enviamos un email a todas las personas en la base de datos antes del 25.05.2018 para pedir su consentimiento a través de un formulario web.

Formulario web integrado con Hubspot para almacenar el permiso Opt-In

Enlace en la página web para consultar / modificar el consentimiento y acceder a los datos almacenados.

¿Informamos adecuadamente a los propietarios de los datos sobre los datos que procesamos y con qué finalidad?

Aclaración de cómo se informa a los afectados sobre las acciones realizadas por la empresa para cumplir la GDPR y sobre los datos almacenados, en concreto: cómo se gestionan, qué uso se les da, cómo ejercer los derechos, quién es el responsable, ...

Publicación de una política de protección de datos con mención explícita a la GDPR y que siga la estructura y contenido definido en la normativa.

¿Reporto adecuadamente a la AEPD sobre los datos personales?

Aclaración sobre el proceso de notificar a la AEPD la información que el ente precisa.

Tener acceso a la herramienta de la AEPD.

Preparar los ficheros necesarios y diseñar un proceso para subir los ficheros acorde a la periodicidad exigida por la AEPD.

 

Medidas para cumplir la GDPR

En función de las respuestas a las preguntas en el cuestionario anterior un empresario debe tomar las medidas necesarias para preparar su organización para poder cumplir la GDPR.

Cabe destacar que el nivel de exigencia del legislador depende del riesgo y del impacto que puede tener un mal uso y malas prácticas en el uso y la protección de datos personales. En concreto:

  • En empresas grandes o empresas que procesan muchos datos personales, la AEPD exige la asignación de un Delegado de Protección de Datos (DPD) (enlace)
  • En empresas que realizan procesamiento automático y/o profiling (enlace) la realización de una evaluación del impacto (EI) de protección de datos es obligatoria.

Ambos elementos suelen ralentizar y encarecer el cumplimiento de la GDPR. Si no se dan ambas casuísticas, lo cual es habitual en empresas medianas y pequeñas, el cumplimiento de la GDPR se puede conseguir:

  • Aplicando las mejores prácticas de gestión de una empresa que incluye la explicitación y documentación de las diferentes políticas corporativas y el despliegue de un conjunto de procesos con un modelo de roles / responsabilidades asociados.
  • Definir, rellenar y gestionar un inventarios con los datos personales almacenados en la empresa.
  • Definir y publicar la política de protección de datos en la web corporativa e incluirlo en los contratos estándar.
  • Capacitar a la plantilla en la política de protección de datos y sus implicaciones.
  • Sistematizar la captación del consentimiento de los propietarios de los datos y supervisar periódicamente que se cumpla.
  • Definir e implantar el proceso de reporting legal con la AEPD

Tomando estas medidas, revisando la correcta implantación y supervisando el cumplimiento, una empresa mediana y pequeña no tendrá mayores problemas con la GDPR sin tener la necesidad de contratar servicios profesionales específicos.

 

Más información sobre la base legal

 

Enlace

Descripción

AEPD

Agencia Española de Protección de Datos

GDPR

General Data Protection Regulation

RGPD

Reglamento General Protección de Datos

LOPD

Ley Orgánica de Protección de Datos

LSSI

Ley de Servicios de la Sociedad de la Información

LGCU

Ley General de la Defensa de Consumidores y Usuarios

LCD

Ley de Competencia Desleal

INCIBE

Instituto Nacional de Ciberseguridad

 

Otros recursos interesantes


 

Posts relacionados
¡Comparte con tus contactos!
   

Comenta este artículo...

ebook blockchain

Suscríbete y no te pierdas ninguna novedad

New call-to-action

¡Comparte con tus contactos!

   
New call-to-action