los 7 errores más frecuentes que tu empresa podría realizar con la nueva ley de protección de datos
3 de junio de 2018
los 7 errores más frecuentes que tu empresa podría realizar con la nueva ley de protección de datos
La nueva directiva europea de protección de datos (RGPD) ha entrado en vigor hoy, por lo que las empresas españolas deben cumplir debidamente con el tratamiento de datos si no quieren exponerse a multas de hasta 20 millones de euros o del 4% de la facturación. Según un estudio un 80% de las pymes en España desconoce esta normativa y son muchas las empresas que todavía se encuentran en periodo de adaptación al Reglamento, apuradas ante la posibilidad de incurrir en un quebrantamiento de la ley europea.
En España se está desarrollando además un nuevo proyecto de LOPD complementario que actualmente se encuentra en fase de enmiendas. Estas normativas traen muchas novedades, sobre todo para el mundo digital y online.
Con la normativa nueva, hay una serie de modificaciones que las empresas deben cumplir y actualizar si no quieren ser sancionadas económicamente. Entre ellas, hay siete infracciones en las que pueden caer más fácilmente. Estas son:
- Contar con un sistema de consentimiento ‘tácito’ para el uso de datos de usuario. Hasta hoy, se podían usar los datos del usuario mientras que éste no se pronunciara y dijera lo contrario después de avisárselo. A partir de ahora será necesario recibir la respuesta afirmativa al respecto del cliente.
- No tener sistema de verificación de edad. En este punto, además, habrá cambios en la nueva LOPD, pues la Agencia Española de Protección de Datos está estudiando reducir la edad para el consentimiento de tratamiento de datos personales hasta los 13 años. Además, la nueva ley permitirá que los herederos accedan a los datos de las personas fallecidas para su supresión o rectificación.
- No tener un sistema de recogida de datos completo. No solo es clave manejar de forma segura los datos, sino manejar los datos exactos, adecuados, pertinentes y limitados a lo necesario. Para que el empresario o responsable del manejo de los datos no incurra en infracción por manejar datos inexactos, debe poner todas las medidas necesarias para que el cliente le dé información lo más fiel posible.
- No tener una política interna de uso de datos regulada. Es imprescindible que toda la plantilla o el propio autónomo tenga definida una correcta política de uso de bases de datos. Si por un despiste o desconocimiento alguien usa un dato de un cliente para otra actividad del negocio para lo que no está permitido, la sanción sería cuantiosa. Se trata de un punto fundamental, además, en los espacios de co-working de empresas, donde hay que ser extremadamente cuidadoso en cómo se da uso y traslado a este tipo de información en el día a día.
- No tener delegado de protección de datos (Data Protection Officer o DPO). En relación con el punto anterior, uno de los cambios principales en la nueva ley es la aparición de la figura ‘voluntaria’ del DPO, que será ‘obligatoria’ en el caso de las organizaciones cuya actividad principal requiera una observación habitual y sistemática de interesados a gran escala, o consista en el tratamiento a gran escala de categorías especiales de datos personales. Asimismo, se ha de implementar un Canal Protección de Datos que sirva para recibir y registrar los incidentes y riesgos de violaciones de seguridad y atención de los derechos.
- Términos y condiciones web. Las políticas y términos de la web deben estar correctamente redactados. Muchos errores de principiantes se basan en copiarlos de otras páginas y son en estos apartados donde las inspecciones ponen más hincapié.
- No tener un buen sistema informático contra ciberataques. En el nuevo territorio empresarial digital, los sistemas de protección y /o protocolos de seguridad de la información para blindarse frente a los ataques de terceros son imprescindibles, y más si se usan datos de carácter personal ajenos.
- No incluir la evaluación y prevención de los riesgos en la gestión de la empresa. De cara a gestionar eficazmente, analizar y prevenir, la empresa debe contar con un apartado o protocolo concreto de evaluación de riesgos en esta área, así como con planes de actuación ya preparados ante los posibles casos de crisis, donde desarrollar cómo actuar ante la ley, las autoridades y las personas que han cedidos los datos.