Tras años de filtraciones de datos y del uso secreto de los datos personales por parte de las empresas tecnológicas, la UE respondió con el RGPD. Rige y regula la recopilación y el uso de datos personales para los ciudadanos de la UE. Eso no solo se aplica a las empresas con sede en la UE. Se aplica a cualquier empresa a la que tengan acceso ciudadanos de la UE, incluso si la organización no comercializa directamente a ciudadanos de la UE.
Eso significa que el cumplimiento de GDPR es crítico.
Cualquier negocio que no cumpla con las normas estará sujeto a fuertes sanciones, incluidas multas. Sin embargo, en una encuesta, uno de cada cinco encuestados cree que el cumplimiento completo de GDPR es «imposible». Eso plantea preocupaciones significativas de que un gran número de pequeñas y medianas empresas no cumplen actualmente con GDPR.
No solo es un grave riesgo de multas. Pero también es evidentemente falso. El cumplimiento de GDPR es perfectamente posible para todas las empresas; Solo requiere que las organizaciones sean absueltas de los requisitos.
Aquí exploraremos cómo cada organización puede cumplir con GDPR.
¿Quién debería cumplir con GDPR?
La primera área de confusión es a quién pertenece GDPR. La respuesta corta es cualquier persona que recopile o procese los datos personales de ciudadanos de la UE, independientemente de la ubicación física de la organización.
Por lo tanto, si usted es un minorista en línea con sede en los Estados Unidos que vende a ciudadanos de la UE, debe cumplir con GDPR. Para evitar el cumplimiento del RGPD, debe restringir el acceso empresarial a los ciudadanos de la UE.
La lista de verificación completa para cumplir con GDPR
Si usted es una empresa u organización que recopila datos personales, es difícil saber cómo comenzar a cumplir. Sin embargo, la ignorancia no será una defensa viable. Es por eso que hemos reunido una lista de verificación completa de 9 pasos para ayudarlo a cumplir con GDPR.
1. ¿Qué datos recopilará?
Esa es la pregunta fundamental. Sepa qué datos necesita para proporcionar el servicio indicado. Pero recuerde, de acuerdo con el GDPR, solo debe recopilar datos personales esenciales para el propósito declarado.
Antes de recopilar estos datos, debe solicitar el consentimiento explícito del interesado. Eso podría ser un consentimiento por escrito o marcar una casilla. Pero debe poder demostrar que se dio el consentimiento.
Además, el consentimiento solo debe darse para un propósito específico. Si los datos se van a utilizar para múltiples propósitos, se debe dar un consentimiento informado y explícito para cada uno. También debe indicar claramente los diferentes propósitos. La transparencia es uno de los principios del RGPD.
2. ¿Cuánto tiempo almacenará los datos?
Decida cuánto tiempo se necesitará la información. Bajo el GDPR, los datos no pueden conservarse más tiempo del necesario. Por lo tanto, defina claramente en qué punto se eliminarán los datos, cómo y por qué.
También deberá proporcionar un mecanismo mediante el cual un sujeto de datos pueda rescindir su consentimiento. Eso significará que deberá eliminar sus datos personales.
3. ¿Cómo almacenará los datos?
Uno de los objetivos fundamentales del GDPR es limitar las violaciones de datos. Eso significa que deberá pensar mucho en cómo se almacenan los datos, asegurándose de mantener su integridad y confidencialidad.
Además, de acuerdo con el artículo 33, debe informar a la Asociación de Protección de Datos dentro de las 72 horas si se produce una violación de datos. También se le pedirá que notifique al interesado de la violación de datos, enumerando qué datos personales fueron expuestos.
4. ¿Qué edad tiene la persona que da su consentimiento?
Bajo el GDPR, solo las personas de al menos 16 años de edad pueden dar su consentimiento para la recopilación de datos personales. Por lo tanto, si recopila datos personales sobre usuarios más jóvenes, no cumplirá con GDPR y el consentimiento no será válido.
5. Nombrar un Delegado de Protección de Datos (DPO)
De acuerdo con el GDPR, una organización debe designar un DPO para cualquiera de los siguientes:
– Si los datos son procesados por una autoridad pública
– Si los datos recopilados se someten a un seguimiento sistemático
– Si los datos recopilados se procesan a gran escala
Aquí hay claramente ambigüedad, ya que el GDPR no define qué tan grande es la escala. Por lo tanto, a menudo es sensato designar a un DPO para supervisar su estrategia de protección de datos, independientemente de la escala de su recopilación de datos personales.
6. Mantén un diario del RGPD
Aquí, sería mejor si documentara cómo su organización practica el cumplimiento de GDPR. Eso incluye el mapeo de flujos de datos a través de su organización, todas las fuentes de datos y cómo mitigar el riesgo de violaciones de datos.
También proporciona cobertura en caso de que su organización sufra una violación de datos mientras implementa su marco de cumplimiento.
7. Doble opt-in para nuevos registros de listas de correo electrónico
Sí. Para cualquiera que se registre en su lista de correo electrónico, incluya un proceso de doble suscripción. Eso significa que deben confirmar su consentimiento dos veces. El primero ocurre cuando se completa el formulario de registro. El segundo consentimiento se produce a través del usuario haciendo clic en el enlace de confirmación enviado automáticamente después de completar el formulario de registro.
Si bien GDPR no especifica registros obligatorios de doble suscripción, es el alto estándar actual para la protección de datos y el consentimiento.
8. Escribe o actualiza tu política de privacidad
En una política de privacidad, una organización debe indicar claramente qué datos personales se recopilan y cómo se utilizarán. Siempre debe estar actualizado y disponible en el sitio web de la organización.
9. Evalúe rutinariamente los riesgos de terceros
Cumplir con GDPR no solo significa mantener su casa en orden. También se refiere al riesgo de datos presentado por terceros. Aquí, los datos pueden ser compartidos entre organizaciones. Eso requiere una conciencia continua de los riesgos de seguridad, con esfuerzos de remediación en su lugar.
Si bien ningún sistema puede estar 100% libre de riesgos, la evaluación rutinaria de los posibles riesgos de seguridad es fundamental. Querrá registrar sus hallazgos y acciones en el diario GDPR.
Conclusión
Mantener el cumplimiento de GDPR puede requerir un trabajo sustancial, pero es posible para todas las organizaciones. El incumplimiento de GDPR puede dar lugar a multas equivalentes al 4% de los ingresos globales anuales o 20 millones de euros, lo que sea más alto.
Por lo tanto, el cumplimiento de GDPR no es una opción; Es un imperativo legal y financiero. Para obtener más información, consulte el reglamento de 88 páginas .
Fuentes:
https://iapp.org/resources/article/iapp-ey-annual-governance-report-2018/
https://gdpr.eu/tag/gdpr/
https://www.upguard.com/blog/how-to-be-gdpr-compliant
https://www.imperosoftware.com/how-to-be-gdpr-compliant/
https://gdpr.eu/what-does-it-stand-for/