¿Tenía que haberse adaptado tu PYME al nuevo reglamento de protección de datos y no lo sabías?
Todos hemos oído hablar del Reglamento Europeo de Protección de Datos (RGPD). Toda empresa o autónomo está obligado a cumplir una serie de medidas para cumplir con esta nueva regulación y, si no lo hacemos, podemos ser sancionados por importes que en algunos casos nos obligaría a cerrar nuestro negocio.
El pasado 25 de mayo se empezó a aplicar este Reglamento General de Protección de Datos y, según la normativa, todas las empresas debían de haberse actualizado antes de esa fecha. No obstante, según un informe elaborado por la consultora Capgemini, una de cada cuatro empresas no prevé haber completado su adecuación al Reglamento a final de año. En el caso de pequeñas y medianas empresas, incluso puede suceder que crean erróneamente que esta nueva normativa no les afecta, y no estén preparándose para adoptar los cambios necesarios.
Por ello, aquí vamos a revisar cuáles son los principales cambios que ha traído consigo la nueva normativa sobre RGPD para las pequeñas empresas, y qué gestiones pueden verse afectadas.
¿Qué es el RGPD?
¿Es una nueva Ley orgánica de Protección de datos (LOPD)? Pues básicamente sí.
El objetivo de esta nueva regulación europea en materia de protección de datos es de homogeneizar y armonizar las regulaciones de todos los países europeos. Así, todos los países europeos contaremos con una única regulación común, que cada país tiene que implementar en sus respectivas leyes.
Esta nueva normativa europea se toma muy en serio el tratamiento de datos personales de los ciudadanos europeos, y ha traído consigo, entre otras cosas:
- Un endurecimiento de las sanciones: éstas pueden ascender hasta un 4% de la facturación anual, así como responsabilidades de carácter civil, penal y laboral.
- La implementación del principio de responsabilidad activa: la empresa no sólo debe adaptar sus procedimientos, documentación e instalaciones, sino que ante cualquier reclamación o queja, deberá demostrar que dichas medidas se han adoptado para evitar sanciones.
- Ha reforzado la exigencia de consentimiento, el consentimiento debe ser explícito y se ha eliminado el consentimiento tácito.
¿Qué cambios tendrás que aplicar si tienes una PYME?
Registro actividades
Según el artículo 30 del Reglamento Europeo de Protección de Datos, las empresas que cumplan alguno de los siguientes requisitos, deben llevar a cabo obligatoriamente un registro de todas aquellas actividades que impliquen tratamiento de datos:
- Empresas con más de 250 trabajadores.
- Empresas que realizan tratamientos de datos con riesgo.
- Se trata de un tratamiento de datos no ocasional, es decir, su actividad implica un tratamiento de datos de clientes habitualmente.
- Tratamiento de categorías especiales de datos personales: datos de origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos o biométricos, datos relativos a la salud, vida sexual u orientación sexual.
- Tratamientos relativos a condenas e infracciones penales.
Tener un Delegado de Protección de Datos:
Asimismo, esta ley incorpora la figura del Delegado de Protección de Datos (DPD) o Data Protection Officer (DPO, por sus siglas en inglés). Esta persona estará encargada de velar por el cumplimiento de la normativa en el seno de la empresa. Puede estar en plantilla o se podrá contratar a un consultor externo a la organización. No obstante, existen determinados supuestos en los que será necesario que esta función la desempeñe alguien de la propia plantilla.
Aquí vamos a destacar únicamente algunos supuestos que pueden darse en las Pymes. Las pequeñas y medianas empresas estarán obligadas a tener un Delegado de Protección de datos en los siguientes casos:
- Si se realiza un tratamiento de datos de naturaleza especial (por ejemplo, incluyan datos de afiliación sindical, datos sobre la salud, etc.. que mencionábamos más arriba).
- Si la actividad que desarolla requiere un seguimiento regular y sistemático de datos de interesados a gran escala (por ejemplo, si tu empresa tiene una página web a través de la cuál capta datos de usuarios, envía campañas de email, y tiene cierto volumen de datos).
- Centros docentes privados.
- Entidades que exploten redes y presten servicios de comunicaciones electrónicas.
- Establecimientos financieros de crédito.
- Entidades aseguradoras.
- Comercializadoras de energía.
- Actividades de publicidad y prospección comercial.
- Centros sanitario.
- Empresas de seguridad privada.
Si tengo una pequeña empresa, ¿qué gestiones se pueden ver afectadas?
Puede que hayas leído hasta aquí, tengas una PYME, y estés pensando que todo esto no te afecta. Pues bien, a continuación te mostramos algunos ejemplos donde las pequeña empresas recoges datos habitualmente sin ser consciente, y que a partir de ahora, sí tienen importancia de cara a la nueva Ley:
- Documentación, solicitudes, formularios.
- Cámaras de vigilancia. Si están siendo grabados usuarios o trabajadores.
- Datáfono, ya que se usan los datos de tarjetas de clientes.
- Datos de salud. Los negocios de estética y salud habitualmente recogen datos relativos a la salud de sus clientes, lo que obligaría también a tener un delegado.
- Datos de menores. Por ejemplo, si tienes una pequeña academia, éstos datos son considerados de alta sensibilidad, lo que te obligaría incluso a tener un delegado.
- Datos personales relativos a las nóminas y contratos de los trabajadores.
- Datos personales o de proveedores.
- Página web, ya que puede ser que tengas cookies activadas.
Como puedes apreciar, todos los negocios, en mayor o menor medida se han visto afectados por la nueva normativa. Si tienes dudas sobre si tu negocio ha implementado correctamente las medidas impuestas por la nueva normativa, contáctanos y te asesoraremos sobre cómo implementar en la documentación y procesos las mejoras para darle cumplimiento, y evitar incidencias y sanciones.