administrator 1 comentario

El GDPR (General Data Protection Regulation) entra en vigor el próximo mes de mayo de 2018 y es de vital importancia estar preparado para los cambios que la nueva regulación supone. El objetivo principal del GDPR es otorgar a los ciudadanos de la Unión Europea un mayor control sobre sus datos personales, así como simplificar el entorno normativo para las empresas internacionales, unificando la regulación dentro de la UE.

La adaptación a la nueva normativa no puede hacerse de un día para otro y hay varios factores que conviene tener en cuenta. A continuación, hemos recopilado varios consejos para que las empresas consigan prepararse de la mejor manera para la implantación del GDPR.

1.- Informa sobre el GDPR

Conviene asegurarse de que las personas clave de la organización y aquellas con capacidad de tomar decisiones estén al corriente de este cambio regulatorio y de lo que representa. Es importante que tomen consciencia del impacto que tendrá en sus respectivas áreas e identifiquen posibles problemas de compliance que pueden darse bajo el GDPR.

2.- Documenta la información

Revisa y documenta los datos personales de que se dispone, de dónde vienen y con quién se comparten. Uno de los requerimientos del GDPR es llevar un registro de las actividades que se llevan a cabo. Si por ejemplo la empresa tiene unos datos concretos que no son del todo correctos y los ha compartido con otra organización, tendrá que informarla del error para que esta pueda actualizar su propio registro. Sin embargo, esto no es posible sin tener todos los datos documentados de forma detallada.

3.- Complementa la información de privacidad

Revisa el aviso de privacidad actual de tu empresa y comprueba si es necesario hacer algún cambio o complemento para ajustarse a los requerimientos del GDPR. Con la nueva regulación hay alguna información adicional que las empresas deberán proporcionar a los consumidores cuando tomen sus datos, como explicar el fundamento jurídico para el procesamiento de los datos, los periodos de retención de los datos o que tienen el derecho a expresar una queja si ha habido algún problema.

4.- Asegúrate de que se respetan los derechos de los individuos

Comprueba que los procedimientos que la empresa lleva a cabo cubran los derechos de los individuos. El GDPR incluye el derecho a ser informado, a acceder a los datos personales, a rectificar y a eliminar los datos, a limitar el tratamiento, a la portabilidad de datos, a objetar y a no ser sujeto de una toma de decisiones automatizada incluyendo la elaboración de perfiles.

5.- Actualiza los procedimientos de peticiones

Revisa los procedimientos que se llevan a cabo para satisfacer las peticiones de los clientes y adáptalas a los requerimientos del GDPR. Bajo la nueva normativa, en muchos casos no se podrá cobrar a los clientes por cumplir una petición y se dispondrá de un mes para darle respuesta, en lugar de 40 días. Además, la empresa podrá negarse o cobrar por alguna demanda que se considere improcedente o excesiva, pero deberá informar a la persona del motivo y de que tiene el derecho a expresar una queja a una autoridad supervisora.

6.- Actualiza el procedimiento de obtención de consentimiento

Revisa la manera en que tu empresa pide y obtiene el consentimiento de los clientes, así como la forma de gestionarlo, y comprueba si es necesario hacer cambios. Con el GDPR, el consentimiento debe ser dado de manera libre, específica, informada y no ambigua. Además, hay varios requisitos adicionales que deben cumplirse como que debe estar separado de otros términos y condiciones y que debe haber posibilidad de retirarlo.

7.- Evita las filtraciones de información

Es de vital importancia asegurarse de que la empresa cuenta con procedimientos eficientes para detectar, informar e investigar filtraciones de información. Con el GDPR, las empresas deberán informar a las autoridades regulatorias correspondientes cuando haya habido una filtración, y en algunos casos también a los individuos afectados.

8.- Designa a un responsable de protección de datos

Es conveniente designar a una persona que se encargue de la protección de datos y establecer dónde se encuentra en la jerarquía de la organización. Además, bajo el GDPR algunas organizaciones están obligadas a designar formalmente a un responsable de protección de datos: autoridades públicas, organizaciones que llevan a cabo el seguimiento sistemático de individuos a gran escala y organizaciones que gestionan datos a gran escala en materias concretas como la salud o las condenas penales.

— One Comment —

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *