Kenjo blog logo
CATEGORIAS
¿BUSCAS NUESTRA WEB?
Visita nuestra Web
IDIOMAS
Kenjo blog logo
Servicios RRHH

¿Cómo cumplir con la RGPD?

Si no sabes qué es el RGPD ni cómo cumplir con la normativa europea de protección de datos, tienes que ponerte al día. Este reglamento establece una serie de requisitos de obligado cumplimiento para todas las empresas y organismos que tratan datos de carácter personal en los países de la EU.  

 

A continuación, te explicamos todo con detalle: qué es, requisitos, pasos a dar, sanciones, etc.

 

¿Qué es la RGPD?

 

El Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas en inglés) es el nuevo marco legal de la Unión Europea que busca proteger los datos personales de las personas físicas y regular la forma en la que las empresas hacen uso de ellos.

 

La principal novedad que supuso el RGPD es que endurece, en gran medida, el control sobre los datos personales y otorga a cada individuo el derecho a que sea utilizado o no por cualquier entidad así como acceder a ellos, modificarlos o retirar el acceso en el momento que quiera.

 

Esta norma se aprobó en mayo de 2016 pero no fue hasta el 25 de mayo de 2018 que su aplicación se hizo obligatoria en todas las empresas de la Unión Europea y aquellas, aún estando asentadas fuera, utilizan datos de ciudadanos europeos.

 

En el caso de España, el RGPD sustituyó a la antigua Ley Orgánica de Protección de Datos (LOPD). Sin embargo, meses después, las Cortes Generales españolas aprobaron la Ley Orgánica 3/2018 que tiene por objeto adaptar el Derecho interno español al Reglamento General de Protección de Datos. Si quieres saber más sobre esto, puedes leer nuestro artículo sobre la Ley de protección de datos.

 

Normativa de la RGPD

 

En este nuevo reglamento de protección de datos contempla, a grandes rasgos, tres aspectos básicos:

 

  1. La protección de datos: en el momento de la recogida, la información tiene que ser clara para que el interesado la comprenda fácilmente. Además, esta ha de tener un fin legítimo y estar limitada a este. Después, los datos deben quedar almacenados en un lugar seguro.
  2. El tratamiento de los datos: el tratamiento de los datos ha de cumplir con el fin que se haya expresado en el momento de la recogida.
  3. El envío internacional de datos personales: queda prohibido enviar datos personales fuera del Espacio Económico Europeo a un país que no ofrezca la suficiente protección de los mismos.

Adicionalmente, hay que tener en cuenta una serie de requisitos que impone el RGPD:

 

  •   Las personas físicas tienen derecho a conocer la finalidad y el tratamiento de sus datos personales.
  •   La recogida de datos debe hacerse mediante una declaración clara y expresa de su uso.
  •   El uso de los datos está limitado a los fines estipulados desde el inicio.
  •   Los ciudadanos pueden mover, copiar o transferir sus datos a otra empresa.
  •   Si las empresas detectan violaciones en la seguridad de los datos, deben informar a las autoridades en menos de 72 horas.
  •   Las empresas deben designar a un Delegado de Protección de Datos (DPO).

Así, el RGPD sigue tres principios básicos:

 

  •   Principio de responsabilidad: las empresas u organismos públicos que manejen datos de carácter personal, tienen que implementar los mecanismos necesarios para acreditar que se han adoptado todas las medidas necesarias para cumplir con el RGPD.
  •   Principio de protección de datos por defecto y desde el diseño: desde el momento en el que nace la empresa o se diseña un producto, es necesario adoptar las medidas que garanticen el cumplimiento del reglamento.
  •   Principio de transparencia: los avisos legales y las políticas de privacidad deben ser simples, completas y entendibles.

Como podemos ver, si por algo destaca el RDPG es la cantidad de derechos que garantiza a los usuarios. Estos deberán, siempre, dar su consentimiento expreso para el uso de sus datos a la hora de la recogida de los mismos. Y, además, tendrán la posibilidad de mover, copiar o transferir sus datos de un lugar a otro o, si lo desea, eliminarlos por completo.

 

 

externalizar servicio rrhh

 

 

¿A quién afecta la RGPD?

 

Deben cumplir con el RGPD todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembros.

 

La normativa europea establece un ámbito de aplicación muy amplio ya que, además de afectar a todas las empresas con sede en la Unión Europea, el RGPD también es de obligado cumplimiento para aquellas compañías de fuera de la UE que ofrezcan bienes o servicios a ciudadanos europeos.

 

A nivel empresarial, afecta a prácticamente todos los departamentos de la empresa por lo que conviene designar, como pide la ley, a un delegado de protección de datos que garantice el total cumplimiento del reglamento.

 

7 pasos para cumplir con la RGPD

 

Si tienes que ponerte al día en materia de protección de datos, estos son los pasos a seguir:

 

  1. Define un plan

El primer paso exigido por el RGPD es crear un plan de acción estratégico para la implementación de la ley.

 

  1. Nombra a un Data Protection Officer

Como hemos dicho, esta figura es la encargada de garantizar el cumplimiento de la ley de protección de datos en la empresa.

 

  1. Actualiza la política de privacidad

Revisa tu política de privacidad y asegúrate que cumple con la ley. Recuerda que ha de ser simple, clara y, sobre todo, comprensible.

 

  1. Refuerza los sistemas de seguridad

Según el principio de responsabilidad, la empresa debe garantizar la seguridad de los datos almacenados. Refuerza los sistemas y establece procesos para detectar con rapidez cualquier violación.

 

  1. Comprueba el cumplimiento de los proveedores

También es importante que tus proveedores cumplan con el RGPD; sobre todo en programas informáticos o herramientas digitales.

 

  1. Asegura el cifrado de datos

Como capa adicional de seguridad, asegúrate de que tu empresa cifra los datos sensibles. Esto evitará la pérdida de los mismos.

 

  1. Involucra a toda la organización

Cumplir con la RGPD es cosa de todos ya que son muchos los departamentos de la empresa los que manejan información sensible. Forma e involucra a todo el personal.

 

 

pillar page CTA

 

 

¿Cuáles son las sanciones por incumplir la RGPD?

 

Los artículos 83 y 84 del RGPD recogen, de forma general, las condiciones para imponer multas administrativas y el rango que pueden alcanzar las multas. Estas pueden llegar hasta los 20 millones de euros o el 4% de la facturación global de la compañía.

 

Los criterios para medir la gravedad de las sanciones son los siguientes:

 

  •   Infracción cometida.
  •   Volumen de negocio del infractor.
  •   Grado de intencionalidad o negligencia.
  •   Grado de responsabilidad del Responsable o Encargado del Tratamiento.
  •   Si existe o no reincidencia.
  •   Categoría de datos personales y el volumen de los mismos que ha quedado experto.
  •   Si se ha notificado o colaborado con la autoridad de control
  •   La adhesión a Códigos de Conductas.
  •   Otros factores como beneficios, pérdidas, etc.

Por lo tanto, el motivo o la cuantía de la sanción puede variar dependiendo de muchos factores. Sin embargo, lo que sí queda claro es que las cifras suelen ser cuantiosas.

 

¿Cuánto cuesta la externalización de la RGPD?

 

Ante la complejidad de la norma y para garantizar el adecuado cumplimiento de la misma, muchas empresas han decidido externalizar la gestión de datos a proveedores expertos. Es una manera, por así decirlo, de asegurarse de hacer las cosas bien.

 

El coste de estos servicios es muy variado. Hay empresas que cobran una cuota mensual, que puede estar en torno a los 70€, y otras que hacen un cobro único anual que puede llegar a los 700€. 

free trial CTA