nordpass logo

Una guía sencilla sobre cómo cumplir con el RGPD

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es una legislación de privacidad de datos promulgada y aprobada por la Comisión Europea y el Parlamento Europeo que entró en vigor en mayo de 2018.

El RGPD es un compendio de normas y directrices para las empresas de Europa y fuera de Europa que recopilan, comparten y gestionan datos de sus usuarios europeos. Proporciona a los residentes de la UE el derecho de conocer qué datos se recopilan sobre ellos y cómo se almacenan, protegen y transfieren. El RGPD también incluye el derecho al olvido y el derecho de acceso. Esto significa que los clientes pueden solicitar ver los datos recopilados y pedir que se eliminen.

¿Debo cumplir con el RGPD?

Todas las empresas que recopilan datos de usuarios en la Unión Europea, independientemente de dónde tengan su sede, deben cumplir con el RGPD. En caso de incumplimiento del RGPD, estas empresas podrían enfrentarse a multas de hasta 20 millones de euros o el 4 % de la facturación global anual, lo que sea mayor.

Proteger la información personal de tus usuarios de conformidad con lo dispuesto en el RGPD afectará a toda la empresa, ya que lo más probable es que debas revisar y adaptar la mayoría de tus procedimientos. Sin embargo, no hay normas precisas que se apliquen a todas las empresas. La forma de proteger los datos dependerá del tipo de datos que trate tu empresa.

Algunos consultores del RGPD dicen que cumplir completamente con el RGPD es imposible y que cumplir con sus requisitos consiste más bien en revisar las actividades de tratamiento y manipulación de datos desde un punto de vista ético, y no en ir cumpliendo requisitos uno por uno. Un buen punto de partida sería revisar los 7 principios del RGPD.

Los 7 principios del RGPD

  • Legalidad, imparcialidad y transparencia. Los datos deben tratarse de forma legal, imparcial y transparente.

  • Limitación de la finalidad y minimización de datos. Los datos solo deben recopilarse con fines comerciales específicos y legítimos.

  • Precisión. Deben realizarse todos los esfuerzos necesarios para mantener los datos actualizados. Si los datos son inexactos o están obsoletos, deben eliminarse.

  • Limitación de almacenamiento. Los datos solo deben almacenarse durante el tiempo necesario para proporcionar los productos o prestar los servicios. Solo pueden conservarse durante más tiempo con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos.

  • Integridad y confidencialidad. La empresa debe hacer todo lo posible para garantizar la seguridad de los datos personales. Deben protegerlos de cualquier tipo de acceso ilegal, como filtraciones de datos, así como pérdidas, destrucciones o daños accidentales.

  • Responsabilidad. La mayoría de las empresas están obligadas a conservar registros del tratamiento de datos y a presentarlos a las autoridades supervisoras cuando sea necesario.

Cómo cumplir con el RGPD

Importante: La siguiente información debe tenerse en cuenta únicamente a modo de guía. Está destinada únicamente a efectos de información general y no constituye asesoramiento jurídico. El RGPD consta de 11 capítulos, 99 artículos y cerca de 200 considerandos, por lo que para cumplir plenamente con todo el contenido, te recomendamos que recibas asesoramiento legal por parte de un asesor jurídico o la autoridad supervisora.

  1. Revisa todos tus procedimientos de tratamiento de datos

    Dedica tiempo a esbozar un mapa de cómo recopila tu empresa los datos desde el principio hasta el final del recorrido del cliente. De esta forma, podrás identificar mejor qué puntos revisar con más atención. Por ejemplo:

    • Es posible que debas revisar tus listas de correo y correo electrónico. Si no tienes motivos legítimos para tratar los datos personales de tus clientes con fines de marketing u otros fines, no podrás utilizarlos. Comprueba si es útil crear listas segmentadas para tus clientes europeos.

    • Debes verificar si tienes motivos legítimos (p. ej., consentimiento, interés legítimo) para tratar datos personales para los distintos canales de recopilación de datos, incluidos eventos, suscripciones a boletines informativos o incluso listas de pago.

    • Revisa tus futuras campañas de marketing de la UE que podrían tener como objetivo recopilar datos de los usuarios; es posible que debas adaptar los procesos.

    En esta etapa, también es recomendable nombrar a una persona (o a todo el equipo) de tu departamento de marketing para que contacte con abogados especializados en el RGPD. Esta persona o equipo deberá trabajar en estrecha colaboración con un responsable de la protección de datos (RPD) si el RPD es designado en la empresa. El RPD podrá revisar y aprobar tus campañas de marketing.

  2. Haz que tu sitio web cumpla con el RGPD

    Si tienes un sitio web, recopilas datos de una forma u otra. Para que tu sitio web cumpla con el RGPD, debes considerar lo siguiente:

    • Incluye un banner de consentimiento de cookies. Todos los formularios web deben incluir un banner de consentimiento de cookies en el que se informe a los visitantes del tipo de datos que recopilas y donde se les dé la opción de dar su consentimiento.

    • Crea un método para verificar la edad. Si tus visitantes son menores de 16 años (el límite de edad puede ser diferente en función del país de la UE), el RGPD requiere el consentimiento de sus padres para recopilar los datos. Asegúrate de incluir dicha verificación.

    • Actualiza tus formularios de recopilación de datos. En ellos debe indicarse en un lenguaje fácil de entender los datos que se están recopilando y con qué propósito. (En los artículos 13 y 14 del RGPD figura una lista completa de la información que debe presentarse a un usuario). Si tu empresa opera fuera de la UE, también te recomendamos que añadas el campo «País de residencia» para que puedas separar las bases de datos si es necesario.

  3. Actualiza tu base de datos actual

    Te recomendamos que actualices tu base de datos de forma periódica. Puedes hacerlo enviando a tus clientes un correo electrónico con la opción de escoger el tipo de información que quieren recibir. De esta forma, es más probable que tus clientes no se den de baja por completo. Cualquier correspondencia también debe incluir un botón como «Darme de baja» o «Actualizar mis preferencias».

    Además, no te pongas en contacto con aquellos usuarios que se hayan dado de baja anteriormente. Lo prohíbe la Directiva sobre la privacidad y las comunicaciones electrónicas.

  4. Prepárate para lo peor

    Uno de los principales objetivos del RGPD es que las empresas adopten una postura más transparente con respecto a sus actividades de tratamiento de datos, por lo que también debes actualizar tu política de privacidad para reflejar todos los cambios que hayas implementado. Redacta de forma clara y precisa. Tus usuarios deben poder encontrar fácilmente la información, incluidos los datos que recopilas, con qué finalidad, con quién los compartes y por qué, cómo se almacenan, cómo se puede acceder a ellos y cómo solicitar que se eliminen. (En los artículos 13 y 14 del RGPD encontrarás la lista completa de todo lo que debes incluir en tu política de privacidad).

    Actualiza tu política de privacidad a medida que vayas actualizando tus prácticas de tratamiento de datos. También te recomendamos que lleves a cabo auditorías de privacidad y seguridad de forma periódica. No ocultes nada. Informa a tus clientes sobre cualquier cambio en tus técnicas de tratamiento de datos y cualquier problema que pueda afectar a su privacidad, para bien o para mal.

  5. Actualiza tu política de privacidad

    En caso de una filtración de datos, el RGPD exige que lo notifiques en un plazo de 72 horas (con algunas excepciones). Por lo tanto, es una buena idead preparar un plan en caso de que se filtren los datos y formar a tus empleados sobre cómo proceder en tales circunstancias. Debes tener en cuenta lo siguiente:

    • Cómo deben responder tus empleados de cara al público a los clientes.

    • Cómo gestionarás las redes sociales y si dispones de suficiente personal para responder a todos los mensajes.

    • Qué canales utilizarás para informar a las partes afectadas, como a tus clientes y proveedores, en caso de que sea necesario.

    • Cómo informarás a los medios de comunicación y a través de qué canales proporcionarás actualizaciones.

    • Cómo comunicarás la filtración de forma interna.

    • Qué procedimientos tienes establecidos en caso de que tus clientes quieran presentar una queja o recibir un reembolso.

    • Cómo garantizarás que la situación no vuelva a repetirse.

    El RGPD no es un proyecto puntual y no deberías tratarlo como tal. Requiere un trabajo constante para mejorar los estándares de privacidad y seguridad de tu empresa.