Autónomos: Siete claves para adaptarte al RGPD

Hoy hablaremos de siete claves para adaptarte al RGPD, seguramente ya hayas escuchado que estamos a días del temido por algunos 25 de mayo, día de la aplicación del nuevo Reglamento Europeo de Protección de Datos que por cierto entró en vigor en abril de 2016.

Sí, se nos dio dos años para su aplicación y para ir adecuándonos a esta nueva normativa, un plazo que no se ha tomado en cuenta.

Pero si os da un respiro, las estadísticas nos pronostican que no todas las empresas, pymes y autónomos llegaran a adaptarse completamente a dicho reglamento este 25 de mayo.

Así que no hay que seguir dejándolo para última hora, en su momento os hablé de los 7 errores legales  de los emprendedores  un interesante artículo que os ayudará a saber más cuestiones legales que deberías implementar en tu negocio. Ahora mismo como bien dicen estamos en pleno boom del RGPD o GDPR como quieras llamarle. Lo que me recuerda cuando hace 8 años (ahora 10) también todo el mundo se unió al movimiento «ley de cookies» y lo resolviste (o pensaste que lo resolviste) seguramente con un plugin, pero ojo, implementar cuestiones técnicas en tu web no hace que cumplas las leyes al completo.

Si has escuchado el podcast, sabes que cambié o actualicé las claves.

Puedes escuchar el podcast para ampliar conocimientos, Clic aquí:

¿Cómo cumplir con el RGPD?

Si todavía no has adaptado tu negocio, hoy hablaremos de 7 aspectos clave que debes tener en cuenta:

Analiza el estado de tu proyecto online en materia de protección de datos

Conocer el ciclo de vida de los datos qué recoges. Hay que empezar desde el inicio de la vida de los datos que recoges, analiza esos datos, ¿sabes las categorías de datos que recoges? esos datos ¿dónde están?, ¿actualizas tus bases de datos?, ¿los tienes en dispositivos bien custodiados?, ¿haces mantenimiento en web u otros dispositivos sobre los datos?, ¿compartes datos con terceros? Esta tarea pasa por hacer un análisis completo sobre tus datos desde su recogida hasta su eliminación.

Revisa si cuentas con el consentimiento

Tener el consentimiento expreso de esos datos y poder acreditarlo va a constituir una de las tareas que te requieran en cualquier momento desde la AEPD. El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el consentimiento tácito ha pasado a mejor vida.

Mucho ojo a contratar asistentes virtuales que manejen tus bases de datos, si estos viven fuera del Espacio Económico Europeo, ¡se considera transferencia internacional de datos!

Ahora bien, no olvides a aquellas terceras empresas proveedoras de servicios que gestionan tus datos electrónicamente. También hay que revisar los contratos y términos con ellas y si se da la transferencia internacional de datos.

Actualmente, en 2021 ya no es válido el famoso Privacy Shield o escudo de privacidad y hay que andarse con mucho ojo en cuanto a las transferencias internacionales de datos.

Implementar cuestiones técnicas como casillas y textos solamente en tu web no hará que cumplas las leyes al completo.

Revisa tus avisos de privacidad 

Revisar que tu política de Privacidad cumpla con lo que exige el reglamento. Sabiendo lo anterior ya podrás ponerte con tu política de privacidad. ¿La tienes? Hay webs que hasta el día de hoy no cuentan con ningún texto legal y obviamente no cuentan con el consentimiento expreso de los datos que recabaron en formularios de contacto.

Por favor, no copies la de otros. ¿Porqué? como os cuento en mi artículo, este es otro error muy común. La política de privacidad tiene que estar adaptada a cada actividad, si copias la de otros, probablemente te falten cuestiones que poner en la tuya o haya cuestiones que no tengan nada que ver con tu actividad. Ahora mismo copiar es arriesgarse, porque no todas las webs han adaptado sus políticas al nuevo RGPD, muchas continúan poniendo lo mismo mencionando a la LOPD de 1999, ley que todavía está en vigor pero que tiene los días contados ya que el RGPD tiene muchas novedades.

(Como apunte, en 2021, todavía siguen existiendo webs que tienen la anterior LOPD, pero también hay más sanciones por estas circunstancias, así que no lo dejes para más tarde).

Esta tarea consiste en el deber de informar sobre cómo son recogidos esos datos, por lo que además de revisar tu política de privacidad debes de incluir textos informativos en formularios, fichas de clientes, en contratos de servicios, recuerda que no sólo es a nivel web.

Tus demás textos legales ( como la política de cookies, aviso legal). También tendrás que revisar y adaptar a las nuevas exigencias. Es hora de proponerte hacer esta tarea. ¿Te animas?

Ponte manos a la obra en tareas técnicas de cara a tu web

Implementar cuestiones técnicas: casillas y textos en tu web. Una vez que ya tengas tu política de privacidad bien adaptada, es hora de ponerse manos a la obra y buscar plugin y herramientas para integrar e implementar las casillas con su texto y enlace.

Recuerda, que debes adaptar todas las herramientas de marketing y de gestión que utilices para administrar los datos e información. Asegúrate desde ahora que tras cada dato nuevo que recoges debes de poder acreditar ese consentimiento o autorización que los usuarios te han dado.

Añade también la cláusula básica de información (o primera capa de información).

La parte más difícil quizás es la parte de las cookies, pues debes de asegurarte que no se carguen hasta que el usuario dé su consentimiento. Y para implementar esto debes de buscar un plugin que realmente cumpla esta función. En el mercado existen varios, está Cookie Consent, Cookie Bot, por ejemplo, si no te  manejas en esto, delega en el desarrollador web.

Por eso tienes que establecer protocolos simples para custodiar los datos que tratas, saber qué debes y qué no puedes hacer.

• Establece protocolos de seguridad de forma que nadie tenga acceso a tus datos.
• Establece procesos para responder a usuarios.
• Define las medidas organizativas, técnicas de seguridad en todos los niveles de tu negocio online.

• Conciénciate en que si no recibes formación no sabrás cuales son tus obligaciones y si como responsable del tratamiento no sabes cuáles son tus obligaciones, imagina cómo vas a pedir que cumplan sus obligaciones tus trabajadores, colaboradores u otros sujetos que traten con tus datos.

Delegado de protección de datos

Esta es una pregunta muy frecuente. Los emprendedores si bien deben cumplir con el RGPD también a raja tabla, no están obligados a contratar un DPO, en la mayoría de los casos, a menos que seas un emprendedor que haga uso de nuevas tecnologías y tu proyecto requiera de asesoría constante, como por ejemplo una Startup, que requiera de un delegado de protección de datos o un especialista en la materia por la actividad que se desarrolla con ese proyecto en concreto.

Entonces todas las obligaciones contenidas en el RGPD las pasas a desempeñar tu como responsable del tratamiento de datos. Por lo que no te vendría mal contar con una persona especializada a la que puedas acudir de vez en cuando o la otra opción es leer todas las guías de la AEPD y el Reglamento para conocer cuáles son tus obligaciones y ver si lo que haces está bien.

Si quieres saber los casos en los que sí hay que contratar un DPO, veamos lo que dice el Reglamento,  el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos, si el tratamiento lo realiza en el sector privado un responsable cuyas actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados, o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. El reglamento también señala entidades y organismos públicos.

La nueva LOPD que va a desarrollar ampliamente el reglamento nos da una lista de entidades que si estarían obligadas a tener un DPO en:  Colegios profesionales y sus respectivos consejos generales, centros docentes que ofrezcan enseñanzas reguladas, entidades que exploten redes y presten servicios de comunicaciones electrónicas, prestadores de servicios de la sociedad de la información cuando elaboren, a gran escala, perfiles de los usuarios, entidades de ordenación, supervisión y solvencia de entidades de crédito, establecimientos financieros de crédito, entidades aseguradoras, empresas de servicios de inversión, distribuidores y comercializadores de energía eléctrica, entidades responsables de ficheros comunes de solvencia patrimonial y crédito, entidades que desarrollen actividades de publicidad y prospección comercial cuando elaboren perfiles, centros sanitarios obligados al mantenimiento de historias clínicas, entidades que tengan como uno de sus objetos la emisión de informes comerciales de personas físicas, operadores que desarrollen la actividad de juego a través de canales telemáticos y todos aquellos que desempeñen actividades de seguridad privada.

Sé que en este artículo condenso de forma muy resumida la información, pero mediante estas siete claves para adaptarte al RGPD, doy los primeros pasos para cumplir con el RGPD a nivel Emprendedores. Espero que les queden claras muchas de las nociones y puedes ampliar más en el episodio del podcast

Escucha el podcast para ampliar este artículo: clic aquí. 

Nos vemos pronto con otro artículo de vuestras obligaciones.