El nuevo Reglamento General de Protección de Datos viene pisando fuerte para todas las empresas de empresas, sobre todo para las PYMES. Aprobado este pasado abril de 2016 entrará en vigor a partir del 25 de mayo del 2018, dado a la complejidad de los cambios que se están requiriendo realizar internamente en las empresas.
Muchas dudas están surgiendo
al respecto, sobre todo en pequeñas y medianas empresas que no saben los
límites de dicho Reglamento: ¿Qué está
cambiando en cuanto al consentimiento del tratamiento de datos? ¿Cómo se debe
hacer el registro del tratamiento y qué control existe? ¿Las PYMES se eximen de
realizar el registro o algún procedimiento?
¡Todas estas preguntas te las
resolveremos en este artículo!
El Consentimiento sobre Datos Personales
Cabe destacar que el consentimiento tácito deja de existir, es decir, es obligatorio que tengas un consentimiento afirmativo y expreso de los interesados (por ejemplo, clientes) para poder tratar sus datos personales. Antiguamente con el consentimiento tácito la no respuesta a dicha petición era tomada como un sí.
Esto beneficia a consumidores
y perjudica a la empresa (buscando que no se aprovechen de forma fraudulenta del
consentimiento), en el caso del Email Marketing solo se podrá lanzar
Newsletters a suscriptores con consentimiento afirmativo o con los que hayas
tenido una relación comercial anterior.
También otra cosa muy
importante: ¡ya no vale poner casillas marcadas en formularios! deben ser los
propios consumidores o posibles clientes los que las marquen.
En cuanto a Registro y Control del Tratamiento de Datos
Se debe realizar, por escrito, todo el registro en cuanto al tratamiento de datos personales (si se ha tenido que llevar a cabo algún derecho ARCO, si se cuenta con nuevos datos, que uso se les ha dado recientemente… etc).
Dada la complejidad de este
procedimiento y la facilidad de cometer alguna infracción, las empresas
están subcontratando servicios de Corporate Compliance, estos facilitan un
control interno y pautas para implementar y llevar a cabo dichos
procedimientos, gracias a esta nueva figura desaparece la obligación de dar
de alta en la AEPD los ficheros públicos y privados, tal como se está
haciendo actualmente. Aunque se haga un buen control
interno si existirá una autoridad de control externa,
garantizará que todo se esté haciendo correctamente, por ello se le deberá
proporcionar todos los datos que esta requiera en cuanto a categorías de
tratamiento, seguridad y demás procedimientos.
Excepciónes en PYMES en cuanto a tratamiento
Las empresas con menos de 250
empleados no se verán con la obligación de llevar el registro salvo:
- El tratamiento pueda entrañar un riesgo para derechos y libertades de interesados.
- El tratamiento sólo sea “ocasional”.
- Se traten categorías especiales de datos, como la salud.
- Se traten datos relativos a condenas o infracciones penales, sólo sector público. (En este supuesto será muy interesante ver como evoluciona en cuanto a la petición de delitos penales de empresas).
Aunque parezcan relevantes
estas excepciones, ni el 1% de las PYMES españolas pueden acogerse a ellas,
dado que el riesgo en seguridad siempre existe y también porque el tratamiento
siempre es continuo, las empresas cuentan continuamente con dichos datos
personales.
Por todo esto podemos ver que
el Tratamiento de Datos en PYMES y cualquier empresa es algo obligatorio, serio
y que va a estar todavía más controlado. Implementar
planes de Compliance puede ayudar mucho a las empresas en esta materia y
evitar que incurran en delitos, especialmente para aquellas que no pueden
dedicarle tiempo y necesitan que un tercero les ayude, en Prevención y Cumplimiento estamos a vuestra disposición para ello.
¿Te ayudamos?
www.prevencionycumplimiento.com
www.prevencionycumplimiento.com
No hay comentarios:
Publicar un comentario