Guía para principiantes sobre el cumplimiento del GDPR (2022)

Índice de contenidos

¿Qué es el GDPR?

A estas alturas es probable que todos hayan escuchado el término GDPR. Hasta el 25 de mayo de 2018 las directrices en torno a la información personal, en relación con la privacidad, eran un poco imprecisas. La Directiva de Protección de Datos (1995) proporcionaba algunas directrices básicas, pero simplemente no era suficiente.

Siempre hemos tenido un gran interés en el GDPR, ya que muchas de las VPN que hemos revisado han tenido que hacer serios cambios en su forma de operar, incluso algunos de los principales actores como Avast y NordVPN.

El seguimiento y el intercambio de información están ahora cubiertos por el Reglamento General de Protección de Datos (RGPD ). El objetivo es garantizar que la información sea tratada de forma responsable por cualquier empresa que maneje información personal y privacidad.

Según el ICO, hay 7 principios clave que el GDPR establece. Estos son:

  • Legalidad, equidad y transparencia
  • Limitación de la finalidad
  • Minimización de datos
  • Precisión
  • Limitación de almacenamiento
  • Integridad y confidencialidad (seguridad)
  • Rendición de cuentas

Los principios esbozados no son reglas como tales, sino más bien un esquema de los fundamentos que deben seguirse al crear una buena práctica de protección de datos. Si los particulares o las empresas no cumplen los principios, podrían ser multados con hasta 20 millones de euros, o el 4% de su volumen de negocios anual total en todo el mundo (lo que sea mayor).

¿Qué había antes del GDPR?

El RGPD se aplica en toda Europa, y cada país tiene su propio control sobre determinados aspectos del reglamento. El Reino Unido ha implementado la Ley de Protección de Datos (2018) que sustituye a la Ley de Protección de Datos de 1998.

La nueva ley fue aprobada por la Cámara de los Comunes y la Cámara de los Lores poco antes de la entrada en vigor del RGPD.

Impacto en las empresas

Tanto si se trata de un particular como de una organización o empresa, puede ser calificado como “responsable del tratamiento” o “encargado del tratamiento” de datos personales. La Oficina del Comisario de Información (ICO ) explica exactamente cuál es la diferencia entre controladores y procesadores.

Las empresas que controlan u obtienen información personal a gran escala deben emplear a un responsable de la protección de datos (RPD). La función del funcionario debe garantizar que la empresa en cuestión cumpla con el GDPR. Cualquier duda o pregunta sobre la protección de datos debe dirigirse a ellos.

El RGPD se aplica a las empresas que tratan datos personales de ciudadanos de la UE. Este es el caso incluso de las empresas que emplean a menos de 250 trabajadores. Como ya se ha dicho, cualquier infracción que pueda afectar a los derechos de los interesados debe notificarse a la Oficina del Comisario de Información (ICO).

En la medida de lo posible, una infracción debe registrarse y notificarse en un plazo de 24 horas, o de 72 horas como máximo. Los detalles de la infracción y la forma en que se va a contener y resolver deben ser expuestos a la ICO.

El RGPD dará a los particulares el control sobre el uso que las empresas hacen de sus datos. Esto también se aplica a las empresas que ya tienen sus datos. Por ejemplo, los individuos tendrán el “derecho a ser olvidados”. Por tanto, si usted es un cliente y no quiere que una empresa siga conservando sus datos personales, tiene el derecho legal de retractarse.

Lista de comprobación útil para las pequeñas empresas

El GDPR es, sin duda, confuso y, comprensiblemente, bastante estresante. He pensado que sería pertinente elaborar una lista de comprobación para las pequeñas empresas del Reino Unido, para que sepan qué esperar y qué se espera de ellas.

La lista de comprobación del GDPR de su pequeña empresa debe tener en cuenta a los empleados, proveedores y clientes anteriores y actuales. También debe tener en cuenta los datos de cualquier persona que esté procesando, recopilando, almacenando o registrando y utilizando por cualquier medio.

1| Comprender sus datos

Deberá comprender y demostrar que entiende los tipos de datos personales que usted y/o su empresa poseen. Por ejemplo, nombres, direcciones, direcciones IP, datos bancarios, etc. Esto también incluye datos sensibles como opiniones religiosas y detalles de salud. Tendrá que demostrar que entiende de dónde vienen y cómo va a utilizar esos datos.

2| Piensa en el consentimiento

¿Su empresa requiere el consentimiento para el tratamiento de datos personales? Algunas técnicas de marketing requieren el consentimiento, lo que hace las cosas mucho más difíciles bajo el GDPR. El consentimiento debe ser extremadamente claro y específico, por lo que, a menos que sepa al cien por cien lo que está haciendo, puede valer la pena evitar la necesidad de confiar en el consentimiento, a menos que sea crucial para su modelo de negocio.

3| Considerar las medidas de seguridad

Sus medidas y políticas de seguridad vigentes deben actualizarse para cumplir con el GDPR. Es más, si aún no tiene ninguno, debería conseguirlo rápidamente. Aunque hay exigencias más específicas en materia de seguridad, como precaución general, podrías utilizar la encriptación.

4| Derechos de acceso del sujeto

Las personas tienen derecho a acceder a sus datos personales. Tendrá que asegurarse de que su empresa está preparada para proporcionar esta información en un plazo breve si es necesario. Las personas pueden desear obtener sus datos personales para rectificar cualquier problema, simplemente para tenerlos, o pueden desear borrarlos por completo. Todas las solicitudes tienen un plazo de un mes.

5| Formar a los empleados

Los empleados de su empresa deben recibir formación en materia de datos personales. Tendrán que entender lo que constituyen los datos personales, así como los procesos para identificar cualquier violación de datos. Los empleados deben saber quién es su responsable de la protección de datos (RPD) y cualquier equipo o persona relacionada o responsable del cumplimiento de la protección de datos.

6| Cadena de suministro

Todos los proveedores y contratistas de su empresa deben cumplir con el GDPR. Esto es para asegurarse de que no van a provocar ninguna infracción y repercutir las sanciones o multas en usted. También tendrá que asegurarse de que los contratos con sus proveedores están actualizados, así que asegúrese de obtener una copia de los mismos.

7| Tratamiento justo

Como parte del GDPR, ahora debe ser capaz de explicar a los individuos para qué está utilizando sus datos personales. Esto no debería ser una tarea difícil o de la que preocuparse si estás utilizando sus datos de forma justa y correcta.

8| Responsable de la protección de datos

Es el momento de decidir si necesita emplear un RPD o no. Es probable que las pequeñas empresas estén exentas, pero puede que las grandes no. Merece la pena comprobarlo para asegurarse de que no incumple ninguna norma del GDPR.

Definir el consentimiento

Como individuo, es posible que esté familiarizado con las casillas premarcadas al registrarse en cuentas en línea, comprar productos, inscribirse en boletines informativos, etc. Estas casillas solían estar premarcadas y algo ocultas, lo que permitía a las empresas acceder a sus datos personales. Atrás quedaron los días de ser bombardeado por correos electrónicos de marketing no deseados y llamadas telefónicas al azar.

El consentimiento ha sido redefinido bajo las nuevas normas del GDPR. Se acabaron los días de la letra pequeña y los mensajes ocultos en los que los individuos se inscriben “accidentalmente” o involuntariamente en correos electrónicos de marketing, textos, etc. Las políticas deben quedar muy claras ahora y ser presentadas de esta manera.

Las normas relativas a los datos personales preexistentes son un poco diferentes. Puede que no necesite el consentimiento para ello, pero debe haber una base legal que cumpla con la Ley de Protección de Datos (DPA). Lo principal es recordar que estas legislaciones se aplican a las empresas y a los consumidores.

Derecho de acceso

El derecho de acceso (o acceso del sujeto) permite a un individuo el derecho a obtener sus propios datos personales. El derecho de acceso da a los individuos la posibilidad de entender cómo se utilizan sus datos y por qué se utilizan de esa manera. Esto garantiza que sus datos se utilicen de forma legal.

Los particulares tienen derecho a obtener determinada información de las empresas, que incluye:

  • una copia de los datos personales de una persona
  • confirmación de que se están tratando los datos personales de una persona
  • información complementaria (corresponde principalmente a la información proporcionada en un aviso de privacidad)

Un individuo, como sabemos, tiene derecho a sus propios datos personales. Sin embargo, no tienen derecho a la información sobre otras personas. Por otro lado, si la información que intentan obtener es sobre ellos y sobre otra persona, es aceptable.

Como individuo, es recomendable que se asegure de si la información que solicita se define como datos personales o no. Puede comprobar lo que se clasifica como datos personales (para estar seguro) aquí.

¿Soy un controlador de datos o un procesador de datos?

El RGPD se aplica a los responsables y a los encargados del tratamiento de los datos, pero ¿qué significa esto realmente? Los procesadores de datos se refieren a las operaciones realizadas sobre los datos, por lo que cuando se almacenan, recogen, registran, comparten, etc. Los controladores de datos también son procesadores de datos, con la diferencia de que ellos deciden cuál es el propósito o la razón de las actividades de procesamiento de datos.

Procesadores de datos

Como procesador de datos, hay obligaciones legales que el GDPR le exige:

  • Conservar y mantener actualizados los registros de datos personales. Esto incluye la descripción de los detalles de las actividades de tratamiento y de las categorías de interesados. Las categorías se refieren a los clientes, los empleados, los proveedores y los tipos de tratamiento: transferencia, recepción, divulgación, etc.
  • Conservar y mantener los detalles de la transferencia a países que están fuera del Espacio Económico Europeo (EEE)
  • Aplicar y mantener las medidas de seguridad adecuadas, por ejemplo, el cifrado

Si un procesador de datos es responsable de una violación de datos, tendrá mucha más responsabilidad legal en comparación con la DPA. Los particulares pueden reclamar directamente al encargado del tratamiento, por lo que es imprescindible que entienda sus responsabilidades como tal.

Controladores de datos

Como responsable del tratamiento de datos, usted es por naturaleza también un procesador de datos. Por lo tanto, se aplican los mismos requisitos del GDPR. Sin embargo, las obligaciones del RGPD recaen sobre usted y su empresa para garantizar que los contratos con los procesadores sean conformes y se cumplan las normas.