¿Cómo puedo prepararme para el RGPD?
¿Cuáles son los pasos para prepararse para el RGPD?
Paso 1 – Fomentar el conocimiento por parte del equipo directivo
Asegurarse de que el equipo directivo de la empresa conoce el RGPD (o GDPR, por sus siglas en inglés) y es consciente del posible impacto en su organización para garantizar la participación interna.
Paso 2 – Verificación y documentación del estado de los datos
Comprueba el estado actual de tus datos y documentos:
¿Qué datos personales posee actualmente?
¿De dónde proceden y con quién los ha compartido?
¿Dónde se encuentran sus debilidades y en qué puntos puede ser considerados responsables?
¿Dónde están almacenados actualmente tus datos? Clasifica esta información.
¿Durante cuánto tiempo permanecen almacenados estos datos en tus sistemas y cuándo pueden eliminarse?
Paso 3 – Avisos sobre privacidad
Examina tus avisos sobre privacidad actuales:
¿Qué actualizaciones son necesarias?
Privacidad integrada configurada y predeterminada en todos los proyectos —no recopiles más datos personales de los que necesites, utiliza la anonimización, la seudonimización y la encriptación.
Paso 4 – Derechos de los interesados respecto de sus datos
Comprueba tus procedimientos actuales para asegurarte de que eres capaz de cumplir con todos los derechos de los interesados respecto de sus datos. El derecho a:
Ser olvidado; ser informado; eliminar sus datos; poseer una copia de sus datos personales (en el plazo de un mes, de forma gratuita);
Derecho a la portabilidad de datos — datos recopilados electrónicamente en un formato que se utiliza comúnmente;
Derecho a impedir las decisiones automatizadas y el perfilado;
Derecho de oposición.
Paso 5 – Consentimiento de los interesados respecto de sus datos
Evalúa la manera en que buscas, obtienes y registras los consentimientos:
¿Tus registros son exactos, están actualizados y protegidos?
¿Dispones de consentimientos separados y explícitos para gestionar todos los datos personales?
¿Necesitas el consentimiento de una persona titular de la responsabilidad parental? (los niños pueden dar su propio consentimiento a partir de los 16 años, aunque esta edad puede rebajarse a los 13 años en el caso del Reino Unido).
Paso 6 – Gestión de la filtración de datos
Asegúrate de que has puesto en práctica los procedimientos adecuados para detectar, comunicar e investigar cualquier filtración de datos.
Paso 7 – Protección de datos mediante el diseño y evaluación del impacto sobre la protección de datos
Familiarízate con las EIPD (Evaluaciones del Impacto sobre la Protección de Datos) y calcula cuándo y cómo ponerlas en marcha en tu organización (nota: existen excepciones para negocios pequeños y la utilización de datos a pequeña escala).
Determina si necesitas nombrar/contratar a un DPD (Delegado de protección de datos), que será el encargado del cumplimiento de las normas sobre protección de datos, actuará de manera independiente e informará a los altos cargos directivos.
Asegúrate de que tus contratos con terceros incluyen las nuevas disposiciones.
Paso 8 – ¿Qué es un Delegado de protección de datos?
Un DPD (Delegado de protección de datos) es una persona —ya sea un empleado o un asesor externo— que tiene la responsabilidad formal en cuanto al cumplimiento de las normas sobre protección de datos en una empresa. Debe nombrarse a un DPD cuando se cumpla cualquiera de estas condiciones:
Las actividades pertinentes de procesamiento de datos las lleva a cabo una autoridad u organismo público (la definición de «autoridad u organismo público» la determina cada Estado miembro de la UE);
Las actividades principales del negocio correspondiente implican el seguimiento regular y sistemático de personas, a gran escala; o
Las actividades principales del negocio correspondiente implican datos personales sensibles o datos relacionados con condenas y delitos penales, a gran escala.
Si el DPD se encuentra dentro de tu organización, como empleador debes:
Proporcionar los recursos necesarios para desempeñar sus tareas y mantener sus conocimientos especializados;
Proporcionar acceso a los datos personales y operaciones de procesamiento;
Asegurarte de que interviene en todos los asuntos relacionados con la protección de los datos personales;
Facilitar al público y a la autoridad supervisora sus detalles de contacto.
Paso 9 – Soluciones de Terceros
Más información sobre cómo trabajar con un proveedor de servicios externo.
Paso 10 – Sensibilización del personal
Informa y sensibiliza a tu personal y empleados sobre la recopilación y el tratamiento de cualquier dato de clientes.