El Comité Europeo de Protección de Datos (CEPD) anunció el lanzamiento de una Guía sobre protección de datos personales para pequeñas empresas, con el objeto de ayudar a propietarios de PyMEs a cumplir con el Reglamento General de Protección de Datos (RGPD). La Guía tiene por objeto crear conciencia sobre el RGPD y proporcionar información práctica.
Cuenta con información práctica y fácilmente accesible para cualquier persona, aunque no cuente con conocimientos sobre protección de datos y privacidad.
La Guía sobre protección de datos personales para pequeñas empresas de momento sólo se encuentra publicada en inglés, aunque en el futuro próximo se lanzará en otros idiomas de la Unión. En Cumplir Blog nos adelantamos y queremos traerte los principales aspectos de este útil recurso en tu idioma, para ayudarte a que tu empresa cumpla con el RGPD.
La Guía empieza por lo básico: ¿quiénes tienen que cumplir con el RGPD?
La Guía sobre protección de datos personales para pequeñas empresas tiene un formato completamente virtual y hecha mano de varios recursos audiovisuales, como el video introductorio sobre el RGPD que puedes ver a continuación.
Además, la Guía cuenta con un apartado sobre nociones básicas en materia de normativa de protección de datos europea, donde podemos encontrar la definición de datos personales, con ejemplos concretos de qué es un dato personal, y especial referencia a las categorías de datos personales sensibles.
Definición de dato personal de la Guía: cualquier información relacionada con un individuo identificado o identificable
Así, datos personales serían desde un nombre o un número de identificación hasta un número de referencia de una reserva, el historial de navegación, una dirección de correo electrónico, fotos, videos o audios de una persona. Recuerda, si un dato te puede llevar a identificar a una persona, aunque sea indirectamente, es un dato personal. Por ej., a través de un número de cliente o de un número de reserva puedes identificar a la persona que hizo la reserva.
Es en este apartado donde también se comparte información sobre una de las dudas más frecuentes en materia de protección de datos al momento de encarar un nuevo emprendimiento: ¿aplica el RGPD a mi organización?.
Procesar datos personales significa realizar cualquier tipo de operación con ese dato, inclusive simplemente almacenarlo.
La respuesta de la Guía es simple, la normativa europea en materia de protección de datos puede aplicarte si:
- Tu organización se encuentra localizada en la UE o en el Espacio Económico Europeo;
- Si no aún no encontrándose en la UE o el EEE, sus productos o servicios se ofrecen a individuos localizados en la UE o el EEE, o monitoriza la actividad de estos.
Por último, también deben cumplir con RGPD cualquier empresa subcontratada que procese datos personales de individuos en representación de una organización a la que se le aplique el RGPD.
Punto número dos: ¿cómo cumplir con el RGPD?
Existencia de una «base legal»
Bien, ahora que sabes que debes cumplir con el RGPD, la Guía sobre protección de datos personales para pequeñas empresas te explica cómo hacerlo.
Lo primero, para procesar datos personales debes contar con una «base legal» para hacerlo. Una «base legal» es el motivo que te autoriza a procesar el dato según el RGPD. Si bien hay muchas otras, en el caso de las empresas la «base legal» normalmente será el consentimiento o el cumplimiento de una obligación contractual.
Un ejemplo del consentimiento como base legal para el tratamiento de datos personales son la aceptación de las famosas «cookies»
Para que el consentimiento sea «base legal» este debe ser libre, informado, específico (sólo sirve para el propósito para el cuál informas que vas a tratar el dato, por ej., suscribirse a un determinado servicio) y libre de ambigüedades (por eso debes tildar el «box» de aceptación y este no puede encontrarse «preseleccionado»).
Por otra parte, la Guía indica que el cumplimiento de una obligación contractual es una base legal válida cuando, por ejemplo, tu empresa debe tratar datos personales de un individuo para poder prestarle un servicio, o cuando un potencial cliente le requiere a tu empresa hacer algo para poder contratar con ella, por ej., le solicita un presupuesto.
Un ejemplo claro es la venta de productos por internet. Tu empresa recaba los datos de pago y envío del cliente (que son datos personales), en orden a poder completar con su obligación, que es entregar el producto.
En este caso es importante que el cliente acepte los términos y condiciones de contratación y que el procesamiento del dato sea el estrictamente necesario para el cumplimiento del contrato.
Recuerda que hay otras «bases legales» que puede aplicar a tu empresa, como el cumplimiento de una obligación legal (por ej., los bancos por obligación legal piden una copia del DNI en orden a poder abrir una cuenta bancaria) o un interés legítimo (por ej., compartir los datos de un deudor de tu empresa con tu abogado para que este inicie un reclamo legal).
Respeta los derechos de los individuos reconocidos en el RGPD
Las personas tienen distintos derechos en materia de protección de datos personas, los cuales deben ser respetados por todas las empresas alcanzadas por el RGPD.
En particular, estos derechos son:
- Derecho a ser informado
- Derecho de acceso
- Derecho de rectificación
- Derecho de supresión (derecho al olvido)
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad de los datos
- Derecho de oposición
- Derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado
Como bien indica la Guía sobre protección de datos personales para pequeñas empresas, no todos los derechos aplican en todas las situaciones, sino que varían según cual sea la base legal para el tratamiento del dato. El siguiente cuadro lo explica claramente:
Toma medidas de seguridad sobre los datos personales
Tu empresa debe tomar medidas para integridad, la confidencialidad y la disponibilidad de los datos personales que procese. Las famosas «brechas de datos personales» ocurren cuando alguno de estos tres elementos es comprometido:
- Brecha de confidencialidad: acceso no autorizado o accidental a un dato personal.
- Brecha de integridad: modificación no autorizada o accidental de un dato personal.
- Brecha de disponibilidad: pérdida de un dato personal o pérdida del acceso a un dato personal.
La Guía sobre protección de datos personales para pequeñas empresas distingue entre medidas de protección organizacionales (por ej., tener una política interna de seguridad de la información o crear una conciencia extendida sobre la importancia de proteger los datos personales ) y técnicas (por ej., aplicar una política de «cero papel» o de «escritorios limpios», utilizar cortafuegos y software antivirus, guardar los datos en «nubes» en lugar de almacenarlos en el ordenador, programar el cerrado automático de las sesiones luego de un tiempo de inactividad, entre otras).
¿Qué hacer en caso de una brecha de datos personales?
La Guía indica que hay tres acciones principales a tomar luego de ocurrida una brecha: documentar la brecha, notificar a la autoridad pertinente dentro de las 72 horas, salvo que sea improbable que la brecha deriva en un riesgo para los individuos, y comunicarla inmediatamente a los individuos afectados cuando la brecha suponga un alto riesgo para ellos (por ej., si ocurre una brecha de confidencialidad sobre sus datos de pago).
Las brechas de datos personales pueden costarte mucho dinero y reputación
El Delegado de Protección de Datos en el RGPD
Esta figura -introducida por el RGPD– es una de las que más dudas plantea a los emprendedores, por ello la Guía sobre protección de datos personales para pequeñas empresas dedica un apartado específico para responder todas tus preguntas al respecto.
¿Qué es el Delegado de Protección de Datos y qué hace exactamente?
Es un experto que asesora a la organización en materia de protección de datos personales. Debe formar parte de la organización y encontrarse involucrado de manera adecuada en todos aquellos aspectos sobre protección de datos personales que impacten a la organización.
¿Necesito un Delegado de Protección de Datos?
En este punto, la Guía cuenta con una infografía muy útil, donde luego de responder algunas preguntas sobre de empresa, podrás saber si estás obligado o no a apuntar un Delegado de Protección de Datos. Puedes acceder a la infografía haciendo click aquí.
Recuerda que, en cualquier caso, siempre es muy útil contar con un DPD, quién se asegurará de que cumplas adecuadamente con todas tus obligaciones en materia de protección de datos personales.
¿Quién puede ser Delegado de Protección de Datos?
Además de contar con conocimientos expertos en materia de protección de datos, el DPD debe ser independiente y autónomo. Esto significa que debe tomar sus decisiones libre de cualquier presión (incluidas sanciones) o conflictos de interés.
No obstante, recuerda que la decisión final sobre que hacer o no en materia de protección de datos siempre le corresponden a la empresa (como así también las responsabilidades derivadas de estas decisiones) a través de sus altos directivos.
Inclusive, el DPD puede ser una persona o organización externa a la organización, que preste sus servicios profesionales como DPD.
El DPD debe contar con recursos financieros, materiales y humanos suficientes para cumplir adecuadamente con sus tareas.
Otros recursos para cumplir con el RGPD
Además de la Guía sobre protección de datos personales para pequeñas empresas, encontrarás otros recursos que pueden ayudarte a cumplir con el RGPD y otras normativas en materia de protección de datos personales en la sección de recursos de Cumplir Blog.
