5 claves para comprobar si cumples con RGPD
- Estrategias
Según la AEPD, todavía existen un 40% de empresas que desconocen qué cambios deben realizar para ponerse al día en esta materia. Informar de la recopilación de datos de los usuarios, haber realizado un análisis de riesgos y velar por los derechos de los usuarios, son algunas de las pautas para cumplir con el Reglamento.
El pasado 25 de mayo entró en vigor del Reglamento General de Protección de Datos (RGPD), pero, pese a estar advertidas, sólo 3 de cada 10 compañías lo han conseguido implementar completamente en nuestro país, según datos de Talend. Además, de acuerdo con un reciente informe de Cepyme y la Agencia Española de Protección de Datos (AEPD), todavía existe un 40% de empresas que desconocen qué cambios deben realizar para ponerse al día en esta materia.
Para Carlos Martínez, presidente de IMF Business School, “las empresas deberían ver RGPD como una oportunidad para replantear el modo en el que gestionan la protección de datos, tanto ahora como en el futuro. Este nuevo reglamento requiere una atención y control constantes, además de una respuesta rápida en caso de que se produzca una brecha de seguridad”. Con el fin de acelerar la implementación del nuevo reglamento en nuestro país, IMF Business School ha elaborado una guía con 5 pasos clave que ayudarán a todas las compañías a comprobar que cumplan de forma correcta con RGPD:
--Almacenamiento de datos sí, pero no sin informar. Cuando se trata de información relativa a una persona física identificada o identificable, el reglamento obliga a informar tanto a los propios usuarios como a la AEPD, de que se están recopilando dicha información y cuál será el fin de ésta. Un error común es desconocer el tipo de datos que la propia empresa conserva, por lo que el mejor punto de partida es saber si la empresa almacena ese tipo de datos o no y en caso afirmativo, informar de ello a los interesados.
--Análisis de riesgo y evaluación de impacto. En el caso de empresas que trabajen con datos especialmente sensibles deberán llevar a cabo un análisis de riesgos, así como una evaluación de impacto con los posibles peligros y las medidas de seguridad adecuadas, previas a cualquier brecha de seguridad.
--Consentimiento expreso. Ya no sirve la marcación de casillas, son necesarios al menos integrar botones de “acepto”. Además, el consentimiento debe ser libre, específico e inequívoco. A partir de ahora no serán válidas las extensas políticas de privacidad ilegibles y llenas de terminología legal.
--Nuevos derechos. Las empresas deben velar por los derechos de los usuarios a la portabilidad o al olvido.
--Brechas de seguridad. Si hay una vulneración de la seguridad de la empresa en la que se ven en peligro los derechos y datos de los usuarios, la empresa se ve obligada a comunicar la incidencia tanto a la AEPD como a los afectados. La notificación debe hacerse en el plazo máximo de 72 horas desde que se conoce la incidencia.