Actualizado.- 28.01.2020
Últimamente no paramos de leer noticias sobre el nuevo Reglamento relativo a la Ley de Protección de Datos que entrará en vigor el próximo 25 de mayo de 2018, la RGPD (Reglamento General de Protección de Datos). Se dicen muchas cosas como que es un reglamento mucho más estricto que la LOPD o que es casi imposible de cumplir. Y lo cierto es que viene pisando fuerte y va a legislar sobre cosas complejas de regular porque Internet es un medio muy dinámico y cambiante y va más deprisa que el derecho. Sin embargo, podemos darle la vuelta a la tortilla y fijarnos en los beneficios que tiene sobre nuestro negocio. Si quieres saber más sobre la RGPD, descubrir que beneficios tiene para tu empresa y como te ayuda un CMS como Prestashop para que lo cumplas en tu Ecommerce, sigue leyendo.
A quién afecta la RGPD
Vamos a empezar por el principio, que es saber si esta ley nos afecta o no. Es un reglamento de aplicación directa en toda la Unión Europea y que legisla sobre la protección de los clientes/usuarios de una web y el tratamiento de los datos relativos a ellos. Es decir, si tenemos una tienda online y vendemos a residentes europeos, aunque tratemos los datos de carácter personal en otro lugar, nos afecta desde el momento en el que un usuario entra en nuestra web y recogemos datos de ellos y, aún más, si hacemos algún uso de esos datos, que es el principal motivo por el cual solemos recoger datos.
Actualización de la Ley de Protección de Datos
Hasta ahora, la LOPD, solo afectaba a las plataformas online que operaban en Europa pero no a empresas extracomunitarias que vendían a ciudadanos europeos. Por eso empresas como Facebook y Google, están actualizando su política de protección de datos, porque a partir del 25 de mayo de este mismo año, les afecta la ley.
Una vez confirmado que esta nueva Ley nos afecta, vamos a ver cómo debemos proceder en dos planos: a nivel interno en nuestra empresa y a nivel público en nuestra página web corporativa o ecommerce. Lo que tenemos que tener claro antes de iniciar este proceso es que la nueva ley gira en torno a una máxima: los datos personales representan a personas reales y si se hace un uso indebido de los datos, puede tener un impacto tremendamente negativo en las vidas de estos.
Por lo que se establece que los datos personales deben ser tratados de forma lícita, leal y transparente. Es decir, todos los datos que recojamos tienen que ser con el consentimiento del usuario, informándole de para qué los vamos a usar y usarlos exclusivamente para aquello que le hemos comunicado que los vamos a usar. Además, de todo esto, los datos los debemos almacenar por un tiempo limitado y al tratarlos debemos garantizar la seguridad en el proceso. De esto es de lo que vamos a hablar a continuación pero de una manera más detallada.
Cómo Trabajar con externos: contrato de tratamiento de datos
En primer lugar hay que diferenciar entre dos figuras:
Responsable del tratamiento de datos (RTD
El Responsable del Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal. Por ejemplo: EMPRESA, S.L.
Otra figura es el Delegado de Protección de Datos ( DPD ) no es obligatorio para todas las empresas. Su obligatoriedad es necesaria en 3 supuestos concretos
- Autoridades y organismos públicos.
- Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
- Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
Encargado del tratamiento de datos:
El Encargado de Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del responsable del Tratamiento. Por ejemplo: INFORMÁTICA, S.L. (Empresa que se encarga del mantenimiento informático de EMPRESA, S.L.).
Es decir, el contrato en cuestión se va a llevar a cabo entre un RTD y un encargado del tratamiento de datos. Siempre que haya tratamiento de datos, ha de darse este contrato entre empresas o colaboradores para asegurarse el cumplimiento correcto de la ley.
Correcto tratamiento de los datos: Principio de Responsabilidad Proactiva
Una vez tenemos claras las principales figuras que intervienen en el manejo de la información, vamos a ver cuál es el estándar que hay que formalizar a nivel interno en una empresa para cumplir con la RGPD. Las organizaciones deben reflejar por escrito qué datos manejan, dónde se almacenan, con qué fin y qué se debe proporcionar al cliente final. Por eso la ley dice que hay que crear un estándar accesible a todos los implicados en el manejo de datos, para que estén informados y se establezca una metodología de trabajo dentro del marco legal:
1. Documentar como se cumple la RGPD
Lo primero que tenemos que reflejar por escrito es cómo vamos a garantizar el cumplimiento de la ley dentro de nuestra empresa, es decir, documentar todos los pasos. El grado de exhaustividad en el registro de actividades de tratamiento es diferente para Pymes que para empresas de más de 250 empleados:
1.
-
-
- Empresas de más de 250 empleados. A parte de tener que tener en plantilla a un Delegado de Protección de Datos (DP
DO) obligatoriamente, en el registro de operaciones de tratamiento deberá incluirse lo siguiente:- Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese
- Finalidades del tratamiento
- Descripción de categorías de interesados y categorías de datos personales tratados
- Transferencias internacionales de datos
- PYMES. En el caso de las Pymes no es obligatoria la figura de DPDO pero si tenemos que designar a un responsable de coordinar la adaptación al nuevo reglamento a no ser que:
- Se traten datos de alto riesgo
- No sea ocasional
- Se traten datos de categoría especial o relativos a condenas e infracciones penales
- Empresas de más de 250 empleados. A parte de tener que tener en plantilla a un Delegado de Protección de Datos (DP
-
Por lo tanto, la manera de proceder sería la siguiente:
- Crear un estándar. Teniendo en cuenta la finalidad de la recogida de los datos y la base jurídica que dice que los puedes recoger y cómo tratarlos, hay que crear un estándar para que cualquiera que vaya a hacer uso de esos datos sepa cómo tratarlos para no generar ninguna brecha de seguridad ni incumplir la ley. En este estándar se debe documentar qué datos personales poseemos, de donde proceden y con quién los compartimos.
- Trazabilidad. Crear un estándar operativo y práctico nos salvaguardará frente al principio de rendición de cuentas del RGPD, que dice que hemos de tener una trazabilidad clara en el trato de los datos personales.
2. Análisis de riesgos
-
- Análisis de riesgos. Hay que analizar qué datos estamos tratando actualmente. Concretamente, debemos analizar los tipos de datos, de donde los hemos obtenido, el número de usuarios afectados y la cantidad y variedad de datos que tu empresa está tratando.
- Evaluación de impacto. Tras el análisis hay que clasificar los datos en base al impacto que tendría para los usuarios, el hecho de que hubiera una brecha de seguridad y estos datos se vieran expuestos. La Agencia Española de Protección de Datos (AGPD), no establece una metodología de trabajo pero podríamos clasificar nuestros datos del 1 al 10 de riesgo muy bajo a muy alto respectivamente.
- En el caso de las PYMES, solo se exige una mínima documentación sobre las implicaciones del tratamiento de datos personales. La AGPD, facilita una serie de preguntas y dice que si las respuestas son negativas, no existe un alto riesgo en el tratamiento de esos datos por lo que la empresa no debe aplicar medidas de alta seguridad:
- ¿Se tratan datos sensibles?
- ¿Se incluyen datos de una gran cantidad de personas?
- ¿Incluye el tratamiento la elaboración de perfiles?
- ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
- ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
- ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
- ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?
3. Medidas de seguridad: Desde el Diseño y por Defecto
Una vez llevado a cabo el análisis de riesgos y la evaluación de impacto, habría que establecer qué medidas de seguridad se llevarían a cabo en base al grado de riesgo que supondría una brecha de seguridad.
Ej.: si somos proveedores de hosting para tiendas online, tendríamos que analizar el riesgo de que nuestro servidor se cayese. ¿Cuál sería el impacto? El impacto sería muy negativo porque supondría que un ecommerce dejaría de vender porque la web no funcionaría, por lo que le pondríamos riesgo muy alto (10) y tendríamos que documentar las medidas de seguridad que estamos tomando para prevenir que esto ocurra y, en caso de que irremediablemente ocurra, que medidas de seguridad se van a desplegar para minimizar el impacto, es decir, para que la web esté operativa en el mínimo tiempo posible.
Las medidas de seguridad que el Reglamento contempla en materia de seguridad en el tratamiento de los datos personales según el grado de riesgo de cada tipo de dato, son, entre otras:
- La seudonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Las medidas de seguridad que lleva a cabo una empresa, las debe aplicar el responsable antes de comenzar con el tratamiento de los datos y también cuando esté tratando la información. Es decir, hay que proteger el dato desde el momento en que se diseña un tratamiento (Ej.: cómo vamos a recoger datos a través de un formulario de contacto). Además la ley también dice que se ha de establecer que por defecto solo se trate aquella información estrictamente necesaria en cada finalidad, la mínima cantidad de datos posibles, durante el mínimo tiempo y se almacenen solo el tiempo necesario.
4. Quiebras de seguridad
En caso de que todas las medidas de seguridad documentadas en el punto anterior hayan fallado y estemos siendo hackeados, tenemos que notificar la brecha de seguridad a la Agencia Española de Protección de Datos (AGPD) en un plazo inferior a 72 horas. Este sería el caso más extremo pero se pueden dar otras «violaciones de seguridad de los datos» como pérdida de un ordenador portátil, acceso por personal no autorizado a nuestras bases de datos o el borrado accidental de algunos registros.
Resumen
Recapitulando todo lo anterior, hay dos procesos que tienes que iniciar para cumplir la ley y en este post te hemos explicado la primera parte, documentar cómo actúa tu empresa a nivel interno a la hora de recoger, procesar y almacenar datos, así como, qué medidas de seguridad toma para prevenir quiebras de seguridad. En el siguiente post explicaremos cómo adapaptar tu web al nuevo Reglamento relativo a la protección de datos. Es importante no tomar este cambio a la ligera porque las multas son muy superiores a las actuales y el organismo va a ser estricto para hacerlo cumplir. ¿Ya estás adaptando tu empresa al Reglamento General de Protección de Datos?
Otros artículos sobre RGPD:
¡Hola, Javier!
Gracias por tu comentario.
Quizás este artículo pueda ayudarte: https://www.clavei.es/blog/rgpd-reglamento-general-de-proteccion-de-datos-adapta-tu-pagina-web/
Un saludo.
hola queria saber para una tienda online que y como se hace lo de la proteccion de datos, gracias
¡Hola, Sofía!
Gracias por tu comentario.
Te facilitamos la información por correo electrónico.
Un saludo.
Hola, Somos una empresa nueva y queríamos saber si tendríamos que implantar la ley de protección de datos para que nuestros proveedores lo firmen. Gracias
Saludos
Hola!
Necesitamos como implantar la Ley de Protección de Datos en una pequeña empresa de cuatro socios de venta de aceite.Gracias
Buenas Tardes…. Soy administradora de una empresa de reformas y mantenimiento de comunidades mayoritariamente, clientes como personas fisicas son los menos. Solo contamos con los datos para facturación (nombre/razon social, cif/dni y direccion) Queria un presupuesto para cumplir con la ley.
Muchas Gracias.
Hola buenos dias, tengo soy atonomo, y tengo una empresa que se dedica al alquiler de material deportivo. Tomo datos de clientes para el contrato de alquiler exclusivamente en papel, me gustaria que me informasen de como tengo que hacer para cumplir el RGPD.
un saludo y muchas gracias.
Buenos días!
Tengo una casa rural, quiero implantar la Ley de Protección de Datos.
Lo puedo gestionar yo? Es necesario algún certificado ? Tiene algún coste ?
Gracias
Hola,
Estoy iniciando una empresa de reparación de dispositivos móviles.
Necesito solicitarle a mis clientes datos como; nombre, apellidos, DNI, número, CP, email, código de acceso a sus dispositivos.
No sé muy bien como hacerlo de la forma correcta,
Agradecería mucho vuestro asesoramiento.
Muchas gracias de antemano,
Un abrazo
Buenas tardes,
Quisiera un presupuesto para asesorarme en la aplicación de la RGPD.
Muchas gracias
Beatriz
Hola Laura,
Te damos toda la información por correo. Nos ponemos en contacto contigo en breve.
¡Saludos!
Tengo una casa rural y me preguntaba que tengo que hacer para implantar la nueva ley, solo soy yo trabajando, tienen que rellenar algun formulario o que tengo que hacer con los datos(todos son en papel)
Buenos días,
Necesitaria información para implantar LOPD en mi empresa que es Promotora-constructora. Si pueden informarme los pasos a seguir o si pueden enviarme un presupuesto para que lo realice una Empresa externa.
Gracias, un saludo.
Buenas tardes, tengo una empresa de publicidad, soy autónomo, la protección de datos, me la hizo una empresa hace 2 años, pero sólo tengo noticias suyas para pasarme la factura anual, que clase de mantenimiento lleva? entre que cantidades sería lo justo? Me podrían informar?
Gracias
Buenas tardes.
Tengo una peluquería pequeña, en la que sólo trabajo yo . Me podríais decir como actuo. Gracias
Buenas,
Somos un restaurante y queriamos tener un presupuesto para implantar la politica de proteccion de datos
Muy buenas tardes somos una empresa familiar de fabricación de producto de aseo como debemos proceder con las bases de datos de nuestros clientes y poder implementar la política de protección de datos esto tiene algún costo
Hola Melissa,
En breve nos pondremos en contacto contigo para ver cómo te podemos ayudar.
¡Saludos!
Hola Fuencisla, le hemos pasado tu petición a nuestro equipo para que contacten contigo lo antes posible y te asesoren. Gracias.
Buenos días:
Me gustaría saber si podrían enviarnos un presupuesto para implantar la política de protección de datos en nuestra empresa.
Buenos dias,
Quería preguntar si nosotros somo una Pyme, una marmoleria, la información que tenemos los cliente es cuenta bancaria, nombre empresa, cif, correo electronico y direccion de empresa.
Podrian decirme como debo proceder.
Muchas gracias.