Hemos estado contando en años, meses, semanas, días… Y por fin ha llegado el momento de contar en horas la que es una de las fechas clave para la protección de los datos, GDPR (o RGPD por sus siglas en castellano). Un momento crucial tanto para los usuarios como para las empresas. El 25 de mayo ha estado en la mente de todas las empresas que han tenido que ponerse al día con una normativa llena de recovecos. Algunas de las compañías han esperado al último momento para cumplir, y otras aún no conocen el Reglamento ni su importancia, sobre todo pequeñas y medianas empresas. Según un estudio de Sophos, el 80% de las pymes en España desconoce GDPR. Y es que todos, incluidos startups y autónomos, tienen que cumplir con la normativa.

No importa el tamaño de la actividad empresarial, como tampoco el sector. Algunos incluso, deben tener especial cuidado. “Las empresas que desarrollan aplicaciones deben contar con un seguro de Responsabilidad Civil que pueda dar cobertura a reclamaciones, así como empresas de asesoramiento”, explican desde Coverfy, una app para gestionar seguros y obtener mejores tarifas. “Las empresas de venta por internet y comercios electrónicos, además deberían contar con un seguro frente a ataques informáticos”.

La compañía ha elaborado un listado de las infracciones más habituales de la normativa, que deben ser solventados antes de que sea demasiado tarde.

  1. Tener un sistema de consentimiento tácito

Los datos de los usuarios hasta hoy se podían usar mientras que no se pronunciara al respecto o dijera lo contrario. Pero esto ya no es válido. Con GDPR Es necesario obtener una respuesta explícita y afirmativa de cada uno de los usuarios para poder seguir usando sus datos. Además, hay que explicar de forma clara para qué y de qué manera se van a usar.

2. No tener sistema de verificación de edad

La Agencia Española de Protección de Datos está estudiando reducir la edad para el consentimiento del tratamiento de datos personales hasta los 13 años. La nueva ley LOPD (que se encuentra en fase de enmiendas) prevé además incorporar que los herederos puedan acceder a los datos de las personas fallecidas para modificarlos o eliminarlos.

3. No comprobar que los datos sean verídicos 

Es importante informar a los usuarios de forma segura, pero también manejarlos adecuadamente. El responsable de los datos de una organización debe poner las medidas necesarias para que los usuarios le ofrezcan la información lo más fiel posible.

4. No contar con una política de datos interna

Esta política, además, debe estar regulada. Los trabajadores (así como los autónomos) deben tener definida una política de uso de base de datos correcta. Las sanciones por usar datos de forma indebida pueden ser muy importantes, por ejemplo si se usan los datos de un cliente para otra actividad diferente a la que se le comunicó.

5. No tener un responsable de protección de datos

El Data Protection Officer (DPO) pasa de ser una figura voluntaria a obligatoria, eso sí, en el caso de empresas cuya actividad principal requiera una observación habitual de interesados a gran escala o consista en su tratamiento a gran escala de datos personales de categorías especiales.

6. No contar con términos y condiciones apropiados

Las políticas y términos deben estar correctamente redactados una vez que se publican en la web corporativa. No es suficiente con copiarlo de otra web, cada empresa y actividad son diferentes y requieren políticas distintas.

7. No contar con medidas de ciberseguridad

Una de las características de la nueva normativa es que penaliza a quienes hayan sufrido ciberataques en los que los datos se ven involucrados. Estos incidentes deben ser comunicados oficialmente. Contar con sistemas de protección y planes de actuación es fundamental.

Deja un comentario