Cuando el pasado 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos de la Unión Europea (RGPD) 216/976, las empresas y entidades se vieron obligados a realizar una serie de adaptaciones. Gracias a esta regulación los usuarios del comercio electrónico vieron como sus derechos a la intimidad y a la propia imagen se vieron protegidos. Por fin Europa daba respuesta a las preocupaciones de un gran colectivo del que todos formamos parte, el de los consumidores.
Hasta esa fecha, los datos que aportamos cuando nos inscribimos en alguna app o realizamos compras online quedaban en poder de muchos negocios que luego mercadeaban con estas grandes bases de datos. Si la información es poder, imagina cuánto power han llegado a tener las grandes empresas poseedoras de millones de datos sensibles y complejos acerca de nosotros.
Afortunadamente, los europeos han visto protegidos sus derechos fundamentales gracias también al esfuerzo que han realizado las empresas en estos cuatro años por adaptarse a la nueva normativa. En este post vamos a indicar una serie de conceptos básicos para aplicar las correctas medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que realizan el tratamiento de datos personales de conformidad con la Ley.
Para esto es recomendable que las empresas analicen con tiempo los datos que tratan, con qué finalidad lo hacen y cuales son las operaciones de tratamiento que realizan. Este análisis es imprescindible para poder asegurar la aplicación de las medidas adecuadas y evitar posibles sanciones. Para ello vamos a analizar cómo la empresa Sage, dedicada a los software de gestión, cumple con la normativa y cómo se ha adaptado a la regulación europea.
¿Cómo cumplir con el Reglamento General de Protección de Datos?
En Sage disponen de una red de gobierno de la privacidad y de un programa de cumplimiento con revisiones periódicas, llevadas a cabo por auditores externos para cumplir con lo que marca la normativa. La protección de datos y la privacidad de los usuarios es algo muy serio e importante.
¿Para qué sirve la figura de un delegado de Protección de Datos?
Las empresas tienen que tener muy claro que la figura del delegado de Protección de Datos es fundamental para cumplir con el RGPD. En Sage disponen de uno con el que se puede contactar a través del correo electrónico: privacidad.es@sage.com o mediante correo postal a la dirección postal Avenida de Europa, 19, planta 1, 28108 Madrid, España. Al delegado de Protección de Datos se le podrán realizar consultas sobre el tratamiento de datos personales o también se podrá dirigir a él para ejercer sus derechos a la privacidad de sus datos personales.
¿Dónde encontrar la información sobre la protección de datos?
La información sobre el tratamiento de los datos personales podrás encontrarla en la política de privacidad de la empresa. En el caso de Sage, en su política de privacidad y de cookies se explica cómo tratan los datos personales y cómo el interesado puede ejercer sus derechos. Además de eso, la empresa se asegura siempre de que los acuerdos que establezcan con los clientes incluyan las disposiciones de conformidad del RGPD.
En la misma línea cabe resaltar que hay que realizar un detallado registro sobre las actividades de tratamiento de los datos personales. Se actualizan y se revisan de manera periódica para reflejar la actividad de la empresa.
¿Garantizan las empresas la privacidad desde el diseño?
Es fundamental garantizar la privacidad desde el diseño. En Sage la garantizan realizando evaluaciones de tratamiento de datos personales de mayor riesgo, y dando respuesta eficaz y oportuna a los incidentes de violación de datos personales que puedan surgir y la respuestas a las solicitudes de los interesados.
¿Cómo se deben tratar los datos personales de los clientes?
Cuando alguien contrata un servicio o un producto de Sage se tratan sus datos personales (nombre, correo electrónico, direcciones…) y se incluyen en un registro de clientes y se tratan conforme a lo que se indica en la Declaración de Privacidad.
Cuando se trate de datos de clientes que se han introducido en productos o servicios de Sage, actuarán como Encargados del Tratamiento. Por lo que se tratarán dichos datos únicamente bajo las instrucciones del cliente y para la prestación del servicio. Nunca los van a utilizar para finalidades propias.
¿Qué hacer para actualizar el contrato de protección de datos?
En el caso de querer actualizar el contrato de protección de datos que tienes con las empresas en cuestión se debe hacer a través de correo electrónico. En Sage por ejemplo, disponen de una agenda homologada para la modificación de las condiciones relativas al tratamiento de datos personales en el contrato de compra de productos y soluciones licenciados por Sage. Esta agenda incluye las intervenciones técnicas, la prestación de servicios y la asistencia técnica asociada a los servicios de Sage con observancia de los requisitos de privacidad.
¿Realiza Sage transferencias internacionales de datos?
En el caso de Sage, los data centers están situados en España. La empresa regula la transferencia internacional de datos dentro de las empresas del grupo a través de unos acuerdos intragrupo que proporcionan las garantías adecuadas cuando transferimos datos personales con afiliados de Sage fuera del Espacio Económico Europeo (EEE), como puede ser por ejemplo el Reino Unido. En la mayoría de los casos se usan cláusulas que cumplen con la normativa y que cubren las transferencias de datos por parte de un responsable de datos ubicados en el EEE a otro fuera de dicho espacio.
¿Se realizan evaluaciones de privacidad de los proveedores?
En Sage desde luego lo tienen claro. Siempre hay que realizar evaluaciones de privacidad. Antes de contratar con un tercero y de transferir datos personales, Sage revisa su nivel de madurez en cuanto a privacidad y seguridad de la información, para asegurarse de que se trata de una empresa con buenos estándares que cumplen con la normativa.
En definitiva, cumplir con la Ley de Protección de Datos de carácter personal es algo fundamental para las empresas, pues de no hacerlo, podrían enfrentarse a importantes sanciones.
