La seguridad, ante todo
Reglamento General de Protección de Datos: sus datos a buen recaudo
Desde el 25 de mayo de 2018 se aplica el nuevo Reglamento General de Protección de Datos (RGPD), cuyo objetivo es garantizar una protección aún mejor de los datos personales. En Sappi, incluso antes de la implementación del nuevo reglamento, su privacidad electrónica en la comunicación digital ya tenía una prioridad máxima: optimizamos de forma permanente nuestros procesos de protección de datos y, en www.sappi.com/privacy-policy, le ofrecemos un resumen sobre cómo tratamos y protegemos sus datos. El nuevo RGPD no hace más que confirmar que, desde un principio, fue una decisión acertada situar la protección consecuente de los datos como principio rector de la colaboración con nuestros clientes. A continuación, hemos recopilado algunos consejos importantes sobre el RGPD que creemos que pueden interesarle como empresario.
El RGPD también es aplicable a empresas pequeñas
No importa si tiene una empresa unipersonal, una oficina gráfica o una gran imprenta: como empresario del sector de la impresión, los envases y la comunicación, ocuparse del RGPD constituye una obligación, puesto que el legislador ha previsto sanciones en caso de incumplimiento de la nueva normativa. En este sentido, el RGPD entra en juego siempre que trabaje con datos personales. El tratamiento de estos datos de clientes y personas interesadas está prohibido por principio, a menos que dicho tratamiento tenga como finalidad la ejecución de un contrato o sea imperativo por otros intereses legítimos. Cualquier otro tratamiento (como para fines de marketing) requiere el consentimiento de la persona interesada. Debe obtener y documentar dicho consentimiento previamente. Los consentimientos ya otorgados seguirán siendo válidos siempre que se correspondan con lo dispuesto por el RGPD.
El cumplimiento de la normativa ya no es suficiente
El RGPD introduce obligaciones adicionales para las empresas, que se deben cumplir activamente. Esto incluye, por ejemplo, que se debe llevar un registro de procedimientos en el que se registren los procesos de tratamiento de datos, la finalidad del tratamiento y los plazos de supresión. El registro puede adoptar, por ejemplo, la forma de un archivo Excel, y se deberá presentar a las autoridades reguladoras bajo demanda. Aunque las empresas de menos de 250 empleados están exentas de la obligación de llevar un registro de procedimientos, esto únicamente es así si el tratamiento de datos se produce de forma ocasional.
Las solicitudes de información se deben contestar en un plazo breve
Otra novedad es que, de forma inmediata, sus clientes pueden ejercer un derecho de oposición general contra el tratamiento de sus datos. Es cierto que su empresa podrá continuar almacenando en el futuro aquellos datos que se precisen para la ejecución de un contrato. Por el contrario, si se trata de datos que solo sirven para fines de marketing, estos se deberán borrar inmediatamente si el cliente así lo solicita. Asimismo, las solicitudes de información de sus clientes sobre los datos tratados deberán atenderse de forma inmediata.
La política de privacidad también es necesaria en reuniones consultivas
Si dispone de un sitio web, ya conoce la política de privacidad prescrita legalmente. En el futuro, esta política también será aplicable si los datos se registran fuera de línea, como en una reunión consultiva.
La figura del responsable de la protección de los datos a menudo es una obligación
El RGPD exige el nombramiento de un responsable de la protección de los datos en el caso de que su empresa lleve a cabo procedimientos de tratamiento que requieran la supervisión sistemática periódica de empleados o que afecten a datos especialmente sensibles (por ejemplo, datos de salud). No obstante, el legislador alemán ya preveía hasta la fecha la existencia de un responsable de la protección de los datos, si más de 10 empleados en la empresa se encargaban del tratamiento de datos personales.
Las filtraciones de datos se deben notificar rápidamente
Si se produce una filtración de datos, está deberá notificarse a las autoridades en el plazo de 72 horas. Hasta la fecha esto solo era aplicable en casos excepcionales. Si existe un elevado riesgo de pérdida de datos, también se deberá informar a las personas afectadas. A fin de minimizar el riesgo de filtraciones de datos, el RGPD prescribe además que la seguridad de los datos de sus sistemas de TI se adecúe a los riesgos existentes.
