Una guía sencilla para cumplir el RGPD
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (RGPD) es una legislación de privacidad de datos promulgada y aprobada por la Comisión Europea y el Parlamento Europeo que entró en vigor en mayo de 2018.
El RGPD proporciona normas y directrices tanto a las empresas europeas como a las no europeas que recopilan, comparten y gestionan datos de sus usuarios europeos. Otorga a los residentes en la UE el derecho a saber qué datos se recopilan sobre ellos, y cómo se almacenan, protegen y transfieren. El RGPD también incluye el derecho al olvido y el derecho de acceso. Esto significa que los clientes pueden solicitar ver los datos recopilados y pedir que se eliminen.
¿Debo cumplir con el RGPD?
Todas las empresas que recopilan datos de usuarios en la Unión Europea, independientemente de dónde tengan su sede, deben cumplir el RGPD. El incumplimiento podría acarrear cuantiosas multas por incumplimiento del RGPD, de hasta 20 millones de euros o el 4 % de la facturación anual mundial, lo que sea mayor.
Proteger la información personal de tus usuarios de manera que cumplas las normas del RGPD afectará a toda la empresa, ya que la mayoría de tus procedimientos tendrán que revisarse y adaptarse. Sin embargo, no hay normas claras que se apliquen a todas las organizaciones. La forma de proteger los datos dependerá del tipo de datos que procese tu empresa.
Algunos consultores del RGPD afirman que no existe tal cosa como cumplir el RGPD al 100 % y que cumplir los requisitos del RGPD consiste más en revisar tus actividades de tratamiento y procesamiento de datos desde un punto de vista ético, que en marcar casillas en una lista de comprobación. Un buen punto de partida es repasar los siete principios del RGPD.
Requisitos del RGPD
El RGPD ha afectado significativamente a las prácticas de privacidad y seguridad de los datos en todo el mundo, incluidas las de las empresas con sede en Estados Unidos. Para comprender mejor los requisitos de cumplimiento del RGPD, es esencial entender los principios y disposiciones fundamentales del reglamento.
Ante todo, los requisitos del RGPD para las empresas estadounidenses se pueden aplicar si la empresa procesa datos personales de residentes en la UE, independientemente de la ubicación física de la empresa. En esencia, cualquier organización con sede en EE. UU. que maneje datos de personas residentes en la UE debe cumplir la normativa RGPD.
Uno de los requisitos clave de seguridad del RGPD es garantizar la protección de los datos personales contra el acceso no autorizado, la pérdida, la alteración o la destrucción. Para cumplir este requisito, las empresas deben aplicar medidas técnicas y organizativas adecuadas, como el cifrado, los controles de acceso y las evaluaciones rutinarias de seguridad.
Además, los requisitos del RGPD para las empresas estadounidenses incluyen el nombramiento de un responsable de protección de datos (RPD) si la organización se dedica al tratamiento a gran escala de datos sensibles o al seguimiento sistemático de personas. El RPD debe ser responsable de supervisar el cumplimiento del RGPD, así como de proporcionar orientación en materia de protección de datos y actuar como punto de contacto con las autoridades de protección de datos.
Además, las empresas estadounidenses deben ser transparentes sobre la recopilación, el tratamiento y el almacenamiento de datos personales. Esto implica proporcionar avisos de privacidad claros, obtener el consentimiento válido de los titulares de los datos y permitir que las personas ejerzan sus derechos en virtud del RGPD, como el derecho a acceder a sus datos, rectificarlos o eliminarlos.
Los siete principios del RGPD
Los siete principios del RGPD son los siguientes:
Legalidad, imparcialidad y transparencia: los datos se deben tratar de forma legal, imparcial y transparente.
Limitación de la finalidad y minimización de datos: los datos solo se deben recopilar para fines empresariales específicos y legítimos.
Minimización de datos: los datos personales recopilados se deben limitar a lo necesario para el fin para el que se recopilaron.
Exactitud: se debe hacer todo lo posible, cuando sea necesario, para mantener los datos actualizados. Si los datos son inexactos o están obsoletos, se deben eliminar.
Limitación de almacenamiento: los datos solo se deben almacenar durante el tiempo necesario para proporcionar productos o servicios. Solo se pueden conservar durante más tiempo con fines de archivo en interés público, con fines de investigación científica o histórica, o con fines estadísticos.
Integridad y confidencialidad: la empresa debe hacer todo lo posible para garantizar la seguridad de los datos personales. Deben proteger esta información de accesos ilícitos, como la filtración de datos, así como de pérdidas, destrucción o daños accidentales.
Responsabilidad: la mayoría de las empresas están obligadas a mantener registros del tratamiento de datos y a presentarlos a las autoridades supervisoras cuando sea necesario.
Cómo cumplir con el RGPD
Ten en cuenta que la siguiente información solo se debe tomar como una guía aproximada. Esta tiene únicamente fines de información general y no constituye asesoramiento jurídico. La legislación del RGPD consta de 11 capítulos, 99 artículos y casi doscientos considerandos, por lo que, para cumplir plenamente el RGPD, te sugerimos que te asesores legalmente con tu asesor jurídico o con la autoridad supervisora.
Revisa todos tus procedimientos de tratamiento de datos
Dedica tiempo a esbozar un mapa de cómo recopila tu empresa los datos desde el principio hasta el final del recorrido del cliente. De esta forma, podrás identificar mejor qué puntos revisar con más atención. Por ejemplo:
Puede que tengas que revisar tus listas de distribución y de correo electrónico. Si no tienes motivos legítimos para procesar los datos de tus clientes con fines de marketing o de otro tipo, no puedes utilizar esos datos personales. Comprueba si es útil crear listas segmentadas para tus clientes europeos.
Tienes que comprobar si tienes motivos legítimos (por ejemplo, consentimiento, interés legítimo) para procesar datos personales para todos los diferentes canales de recopilación de datos, incluidos los eventos, las suscripciones a boletines o incluso las listas de pago.
Revisa tus futuras campañas de marketing de la UE que podrían tener como objetivo recopilar datos de los usuarios; es posible que debas adaptar los procesos.
En esta etapa, también es recomendable nombrar a una persona (o a todo el equipo) de tu departamento de marketing para que contacte con abogados especializados en el RGPD. Esta persona o equipo deberá trabajar en estrecha colaboración con un responsable de la protección de datos (RPD) si el RPD es designado en la empresa. El RPD podrá revisar y aprobar tus campañas de marketing.
Haz que tu sitio web sea compatible con el RGPD.
Si tienes un sitio web, recopilas datos de una forma u otra. Para que tu sitio web cumpla con el RGPD, debes considerar lo siguiente:
Incluir un consentimiento de cookies: todos los formularios web deben tener un consentimiento de cookies que informe a los visitantes sobre el tipo de datos que recopilas y les dé la opción de aceptar si están de acuerdo con dicho seguimiento.
Verificación de la edad: si tus visitantes son menores de 16 años (el límite de edad puede ser diferente en algunos países de la UE), el RGPD exige su consentimiento paterno para recopilar datos. Asegúrate de incluir dicha verificación.
Actualiza tus formularios de recogida de datos: estos deben indicar en un lenguaje fácil de entender qué datos se recopilan y con qué finalidad (en los artículos 13 y 14 del RGPD encontrarás una lista completa de la información que se debe presentar a un usuario). Si tu empresa opera fuera de la UE, también deberías plantearte añadir el campo "País de residencia", para poder separar tus bases de datos si fuera necesario.
Actualiza tu base de datos actual
Es aconsejable actualizar tu base de datos periódicamente. Puedes hacerlo enviando a tus clientes un correo electrónico con la opción de elegir qué tipo de información quieren recibir. Así es más probable que tus clientes no se den de baja del todo. Toda correspondencia debe incluir también un botón "Cancelar suscripción" o "Actualizar tus preferencias".
Además, no te pongas en contacto con aquellos usuarios que se hayan dado de baja anteriormente. Lo prohíbe la Directiva sobre la privacidad y las comunicaciones electrónicas.
Prepárate para lo peor
Uno de los principales objetivos del RGPD es que las empresas sean más transparentes sobre sus actividades de tratamiento de datos, por lo que también debes actualizar tu política de privacidad con todos los cambios que hayas aplicado. Escríbelo de forma clara y concisa. Tus usuarios deben encontrar fácilmente la información, incluido qué datos recopilas, con qué finalidad, con quién los compartes y por qué, cómo se almacenan, cómo pueden acceder a esos datos y cómo solicitar su eliminación (puedes encontrar la lista completa de lo que debe incluir tu política de privacidad en los artículos 13 y 14 del RGPD).
Actualiza tu política de privacidad a medida que vayas actualizando tus prácticas de tratamiento de datos. También te recomendamos que lleves a cabo auditorías de privacidad y seguridad de forma periódica. No ocultes nada. Informa a tus clientes sobre cualquier cambio en tus técnicas de tratamiento de datos y cualquier problema que pueda afectar a su privacidad, para bien o para mal.
Actualiza tu política de privacidad
En caso de filtración, el RGPD exige que se notifique en un plazo de 72 horas (con algunas excepciones). Por tanto, es una buena idea preparar un plan de filtración de datos y educar a tus empleados sobre qué hacer en tales circunstancias. Debes tenerlo en cuenta:
Cómo deben responder a los clientes tus empleados de cara al cliente.
Cómo gestionarás los canales de las redes sociales y si tendrás suficiente personal para responder a todos los mensajes.
Qué canales utilizarás para informar a las partes afectadas, como tus clientes y proveedores, si es necesario.
Cómo informarás a los medios de comunicación y qué canales utilizarás para proporcionar actualizaciones.
Cómo comunicarás internamente la filtración.
Qué procedimientos tienes en marcha si tus clientes quieren presentar reclamaciones u obtener devoluciones.
Cómo garantizarás que la situación no vuelva a repetirse.
¿Qué es el derecho al olvido?
El derecho al olvido es una innovación jurídica pionera que permite a las personas solicitar la eliminación de información específica sobre sí mismas de Internet. Este convincente concepto surgió en la Unión Europea, y está consagrado en el RGPD como un derecho fundamental de los ciudadanos de la UE.
En esencia, el derecho al olvido encarna la noción de que las personas deben tener control sobre sus datos personales y la capacidad de dejar atrás su pasado.
Aunque el derecho al olvido no es absoluto, hay casos claros en los que se aplica. Si la información ya no es pertinente, es inexacta o ha sido tratada ilegalmente, las personas pueden presentar una solicitud para que se elimine.
RGPD vs. CCPA
Aunque la CCPA y el RGPD comparten el objetivo común de mejorar los derechos de privacidad de los consumidores, ambos tienen algunas diferencias clave.
En primer lugar, los dos reglamentos difieren en su alcance como leyes. En general, se considera que el RGPD es un reglamento que tiene un alcance más amplio, ya que se aplica a todas las organizaciones que recopilan y almacenan datos de particulares dentro de la Unión Europea (UE) y el Espacio Económico Europeo (EEE). En cambio, la CCPA (Ley de Privacidad del Consumidor de California) solo se aplica a las organizaciones con ánimo de lucro que cumplen determinados criterios de ingresos y volumen de datos y recopilan datos sobre residentes de California.
En segundo lugar, la CCPA y el RGPD difieren en la forma en que enfocan el consentimiento del usuario. La CCPA no gestiona un consentimiento explícito para la recopilación de datos, a menos que el usuario sea menor de edad. En cambio, el RGPD exige un consentimiento explícito para la recopilación de datos.
Otra diferencia notable entre ambas normativas es el tipo de leyes que son: El RGPD es una ley de naturaleza reglamentaria, mientras que la CCPA es estatutaria. Lo más sencillo es que cualquier infracción de la CCPA se puede utilizar para presentar una demanda civil en el estado de California, mientras que el RGPD no tiene un impacto directo en los litigios civiles, pero se puede incorporar a las leyes nacionales.
Por último, la aplicación y las multas por incumplimiento varían mucho. El RGPD lo aplica la UE y puede imponer sanciones de hasta 20 millones o el 4 % de la facturación global anual, lo que sea mayor. El Fiscal General de California es la institución que hace cumplir la CCPA; el incumplimiento de la CCPA puede costar hasta 2500 $ por infracción y 7500 $ por infracción intencionada.
¿Cumple NordPass el RGPD?
En NordPass, nos tomamos muy en serio la protección de datos y la privacidad. Como solución segura y fiable para la gestión de información confidencial, NordPass se esfuerza por cumplir totalmente con el RGDP.
La arquitectura de conocimiento cero garantiza que todos los datos sensibles se cifran de forma local en tu dispositivo antes de que lleguen a nuestros servidores. Esto significa que no tenemos acceso a tus contraseñas ni a ningún otro dato que tu empresa pueda almacenar en NordPass, lo que garantiza la máxima privacidad.
Valoramos la transparencia, por lo que proporcionamos una política de privacidad detallada que describe nuestras prácticas de tratamiento de datos, incluidos los tipos de datos recopilados, los fines de la recopilación y las medidas de seguridad aplicadas.
Además, nuestras sólidas medidas de seguridad incluyen la autenticación multifactor (MFA) y la autenticación biométrica, que añaden una capa adicional de protección.
En el extraño caso de que se produzca una filtración de datos, nos comprometemos a informar rápidamente a los usuarios afectados y a las autoridades pertinentes, tal y como exige la normativa RGPD.
Recuerda, el RGPD no es un proyecto aislado y no debes tratarlo como tal. Se trata de trabajar continuamente en la mejora de las normas de privacidad y seguridad de tu empresa.
Elige NordPass para disfrutar de una experiencia de gestión de contraseñas fiable y transparente que te ayudará a mantenerte en línea con las políticas de cumplimiento y a mitigar el riesgo de filtración de datos.