El 28 de enero se celebró el Día Europeo de la Protección de Datos por lo que vamos a analizar 10 casos prácticos en los que cambiar la forma de actuar en cualquier empresa tras la entrada en vigor del RGPD.
- Desde compartir una fecha de nacimiento de un compañero o enviar felicitaciones de Navidad, son acciones que se pueden ver afectadas por la nueva normativa
Con el nuevo Reglamento General de Protección de Datos (RGPD) ya en vigor en toda la Unión Europea (UE) (desde 2016 y de aplicación desde el 25 de mayo de 2018), la forma en la que las empresas gestionan los datos personales de sus clientes ya no será igual.
No obstante, según datos de un estudio realizado en marzo por IDC, solamente la mitad de las pequeñas y medianas empresas europeas habían tomado medidas para adaptarse a la nueva normativa. En España, las cifras no son muy distintas: según una encuesta realizada por Sage, un 51% de los empresarios españoles no saben en qué consiste el RGPD o no están familiarizados con él.
Por ello, hemos identificado 10 situaciones diarias del entorno empresarial sobre las que se debería prestar especial atención a partir de ahora, con el nuevo Reglamento en vigor.
1. Celebrar el cumpleaños de un compañero de trabajo
Una fecha de nacimiento de un individuo es un dato personal. En la normativa de protección de datos, a menos que se comparta esa información en una actividad puramente personal o familiar, no se debe hacer sin el consentimiento expreso del individuo. Por lo tanto, vale la pena verificar que se tiene permiso de todos los empleados para hacer público en la oficina un calendario de cumpleaños.
2. Enviar felicitaciones navideñas
Si estás pensando enviar la típica felicitación de Navidad a tus clientes, primero párate a pensarlo. Si en ella se incluye la dirección de la casa de alguien, entonces será un dato personal. Si quieres usarlo, también necesitarás tener el consentimiento por adelantado.
Por eso, si no tienes el consentimiento expreso para contactar con cada cliente, deberás establecer una base de datos legítima diferente para cada comunicación comercial que realices.
3. Compartir las fotos del hijo de un compañero
Piénsatelo dos veces antes de compartir fotos de bebés con compañeros, por ejemplo, de otros países. Los datos personales solo pueden transferirse internacionalmente si el país ha sido designado por la UE como proveedor de un nivel adecuado de protección de datos, bien cumpliendo con un mecanismo de certificación aprobado (como el EU-US Privacy Shield), o bien obteniendo el consentimiento del individuo en cuestión.
Por supuesto, si el intercambio de una foto de un niño se considera una actividad puramente personal o doméstica, se puede argumentar que queda fuera del alcance del RGPD.
4. Pedir un catering para personas con alergia en un evento del trabajo
¿Tienes algún compañero con alergia alimenticia? ¿O quizás tiene una dieta especial? Este tipo de datos están clasificados como personales. Por lo tanto, antes de levantar el teléfono para pedir comida en un servicio de catering asegúrate de contar con el permiso de tus colegas para compartir esa información con los demás.
5. Reenviar un CV para consultar una segunda opinión sobre un candidato
¿No estás seguro acerca de un candidato potencial para un puesto de tu empresa? Mala suerte: una vez más serán datos personales y no se podrán compartir con otro colega a menos que el intercambio de su CV sea con alguien relevante para ese rol.
Sin embargo, una manera fácil de obtener una segunda opinión de un currículum es anonimizarlo, es decir, eliminar el nombre, la dirección, el número de teléfono y cualquier otra información identificable. Esto también se está convirtiendo en una tendencia en crecimiento en las empresas para evitar las diferencias a la hora de contratar por raza o sexo.
6. Marcar la casilla para unirse a una lista de correo
¿Tienes en tu web formularios de registro con una casilla previamente marcada para que los clientes reciban información de marketing de terceros? Desde el 25 de mayo esto ya no es posible.
Con el RGPD, el silencio, las casillas pre-marcadas y la inactividad ya no serán suficientes como consentimiento. También debes revisar tus términos de privacidad online, ya que una solicitud de consentimiento por parte de una empresa para usar información personal debe ser inteligible, y estar escrita en un lenguaje claro y sencillo.
7. Hablar de política en la oficina
Las opiniones políticas son parte de una categoría especial de información personal y las organizaciones no pueden registrar ni procesar datos de este tipo a menos que sea absolutamente necesario, o que hayan obtenido el consentimiento explícito del individuo en cuestión.
Por lo tanto, la típica cadena de correo electrónico sobre las próximas elecciones puede ser algo peligroso, ya que si alguien la reenvía y contiene las opiniones políticas de la gente se pueden sufrir penalizaciones por el RGPD.
8. Llamar a la oficina cuando estás enfermo
La información sobre la salud también forma parte de esa categoría especial de información personal.
Por lo tanto, si tiene que llamar por enfermedad una mañana debido a una afección médica específica, solo tendrás que transmitir que te encuentras mal a las personas que necesiten saber tu paradero, pero no tendrás que especificar la enfermedad que tienes.
9. Realizar una auditoría de datos
Según el RGPD, en una organización, en algunos casos, es obligatorio contratar a un Delegado de Protección de Datos (DPD) (persona física o jurídica) antes de llevar a cabo cualquier tipo de procesamiento de datos personales a gran escala. En las organizaciones en donde no es obligatoria su contratación es recomendable contar con una figura que se encargue de los asuntos de protección de datos.
La persona designada sería responsable de crear conciencia sobre la implicación de la normativa de protección de datos en la organización, establecer los procedimientos para la atención a derechos, implantar las medidas de seguridad adecuadas al tratamiento, administrar las auditorías de los procesos de datos entre otras tareas.
10. Gestionar una violación de datos
Si su negocio sufre un hackeo de datos, tendrás que informar rápidamente sobre esto. Según el RGPD, si los datos personales se pierden, se destruyen, alteran o dañan de forma accidental o ilegal, se debe notificar a la autoridad de supervisión en un plazo de 72 horas si el incidente implica un riesgo para los afectados.
Y no es sólo la autoridad relevante la que necesita ser notificada: todas las personas afectadas deben ser informadas también si existe la probabilidad de un alto riesgo por pérdidas financieras, robo de identidad o fraude.
Estos son solo algunos ejemplos que afectan al día a día de cualquier negocio. Por eso, si todavía no tienes claro si tu empresa está adaptada al nuevo Reglamento General de Protección de Datos y si tu software de empresa está adaptado y tiene las herramientas necesarias para ello.
Este artículo ha sido extraído de Sage Advice, redactado por Keir Thomas-Bryant es el experto de Sage especializado en el sector de las pequeñas empresas y las asesorías y despachos profesionales. Comenzó su carrera de periodismo hace dos décadas y ha trabajado como editor de revistas, autor de libros de texto y editor, bloguero profesional y redactor corporativo.
