La plataforma de gestión de consentimiento (CMP) de Usercentrics: permite mostrar un banner de cookies para recopilar el consentimiento del usuario para el procesamiento de datos.
Checklist del RGPD: Pasos hacia el Cumplimiento
En esta guía ofrecemos un listado exhaustivo de los puntos a seguir para asegurar el cumplimiento del RGPD en una organización. Abarca desde el consentimiento hasta la seguridad de los datos y la gestión de responsabilidades, así como los derechos de privacidad de los clientes.
1. Comprensión del RGPD y su Aplicabilidad
El Reglamento General de Protección de Datos es la ley de la Unión Europea que define la manera en que las empresas deben tratar datos personales. Seguir esta normativa vigente desde el 25 de mayo de 2018 es fundamental para evitar multas de hasta veinte millones de euros o la pérdida de confianza de los clientes.
¿Es el RGPD aplicable a su organización?
Esta lista de verificación le ayudará a definir si el RGPD se aplica a su empresa. Siga leyendo para poder tomar medidas, en caso de que su empresa deba cumplir con el reglamento.
Esto es así si su empresa recopila o procesa datos personales de residentes en la Unión Europea:
- Tanto si tiene sede en la UE o no
- Ya sea que los datos se procesan dentro o fuera de la UE
- Independientemente de si existe o no una transacción
Cualquier organización, asociación o empresa que trate datos personales de ciudadanos dentro del EEE debe seguir el RGPD.
2. Registro del Consentimiento Explícito
Es obligatorio contar con el consentimiento de los individuos antes de tratar o usar sus datos personales. Además, las cookies no esenciales y otras tecnologías de seguimiento en páginas web o aplicaciones no pueden activarse o cargarse hasta que se haya obtenido el consentimiento válido del usuario.
Consentimiento libre, específico, informado y no ambiguo
Asegúrese de que el consentimiento se obtiene sin presión y por medio de una declaración o acción positiva clara que denote acuerdo:
- ¿Ha dado el interesado su consentimiento de manera explícita? Por ejemplo, haciendo clic en una caja de verificación.
- ¿Se le ha informado al individuo sobre quién, cómo, para qué y por cuánto tiempo se usarán sus datos personales?
- Se ha obtenido el consentimiento sin presión ni ambigüedad que pueda conducir a confusión.
- La opción de aceptar o rechazar el tratamiento de datos es igualmente visible y operable.
- El tratamiento de los datos debe ser únicamente según lo aceptado por la persona.
La solicitud de consentimiento debe estar separada de otros términos y condiciones, como los de uso del servicio o la compra de un producto. Además, se debe clarificar para qué se está solicitando el consentimiento exactamente.
El lenguaje de la solicitud de consentimiento debe ser fácil de entender, claro y legible sin problemas. El usuario debe poder elegir libremente si decide o no dar su consentimiento, sin coacción ni presión de ningún tipo.
Retiro del consentimiento
Un ciudadano de la UE puede decidir dar su consentimiento en una app, por ejemplo, y posteriormente cambiar de opinión. El derecho a retirar el consentimiento es un principio fundamental del Reglamento General de Protección de Datos (RGPD).
Las empresas deben facilitar a los interesados los mecanismos necesarios para poder retirar su consentimiento sin dificultad. Para ello, se pueden usar canales como: un formulario, una llamada, un correo electrónico o una carta postal.
Una vez retirado el consentimiento, las empresas no deben poner impedimento alguno y deben respetar la decisión tomada. A continuación, es obligado dejar de tratar los datos personales del interesado de inmediato.
Consentimiento de menores
Dentro de la Checklist RGPD, también hay que contemplar el caso de tratar datos personales de niños menores de 13 años (en España son 14, bajo la LOPDGDD). El reglamento obliga a las empresas a que en estas circunstancias se obtenga el permiso parental.
Esto implica que no se debe solicitar directamente el consentimiento al menor de edad. Son los padres o tutores quienes pueden ejercer el derecho de consentimiento exigido por el RGPD.
Como excepción, se puede solicitar el consentimiento directamente al menor si el tratamiento es necesario para proteger el interés del niño.
Prueba documental de consentimiento
Las empresas no solo deben solicitar el consentimiento, sino también se les exige poder demostrarlo. Esto evita posibles sanciones, además de ayudar a la confianza de los usuarios. Para ello, se aconseja mantener registros que documenten el consentimiento.
¿Qué tipos de documentos pueden servir como prueba de consentimiento explícito del interesado?
- Un formulario firmado por el interesado.
- Un correo electrónico en el que el interesado da su consentimiento.
- Una grabación de audio o vídeo en la que el interesado da su consentimiento.
Estos registros deben ser legibles, accesibles y seguros, además de que se deben conservar durante todo el tiempo en que se traten los datos personales del sujeto en cuestión.
Actualizaciones de la política de privacidad
Asegúrese de que su política de privacidad cuenta con información clara sobre cómo y por qué se procesan los datos personales. La Política de privacidad tiene efectos jurídicos que obligan a las empresas, y por tanto es vinculante.
Cualquier cambio debe ser inmediatamente comunicado a los interesados, ya que afecta directamente a sus derechos.
Si su empresa quiere confirmar que cumple la checklist GDPR (siglas inglesas del Reglamento General de Protección de Datos) necesitará asegurarse de comunicar a cualquier usuario de quien tenga datos personales sobre los cambios de la Política de privacidad cada vez que se realice una actualización de cualquier tipo.
Las maneras de informar a las personas sobre actualizaciones pueden ser diversas: un correo electrónico, una notificación en la aplicación, publicar la nueva política en la página web y anunciar los cambios en un post en las redes sociales de la empresa.
3. Base Legal y Transparencia
Se debe contar con una justificación para el tratamiento de datos. En este sentido, el RGPD establece una serie de bases legales para el procesamiento de información personal:
- Consentimiento
- Contrato
- Obligación legal
- Interés público
- Interés legítimo
Además de contar con ello, es fundamental ser transparente sobre cómo se procesan los datos. Esto pasa por proporcionar información sobre los datos.
- ¿Qué datos son?
- ¿Para qué se tratan?
- ¿A qué categoría pertenecen?
- ¿Cuáles son los destinatarios de los datos?
- ¿Qué derechos tienen los individuos?
Además, en caso de haber un Delegado de Protección de Datos (DPO, por sus siglas e inglés), se debe revelar su información de contacto.
Auditoría de información
El almacenamiento de los datos debe garantizar su protección, de acuerdo con la ley. Esto implica que se deben realizar auditorías regulares sobre la información que se procesa y quién tiene acceso a ella.
También se deben revisar y documentar las medidas técnicas y organizativas tomadas para cumplir la ley de protección de datos.
En caso de haber brechas de seguridad, es esencial identificarlas y documentarlas, determinando el alcance y la gravedad del problema, así como las medidas que se tomarán para remediarla.
4. Seguridad de Datos
Es fundamental proteger la privacidad de los usuarios tomando las medidas necesarias para evitar que se incumpla el RGPD. Por ejemplo, el uso de firewalls y software antivirus en la organización puede marcar la diferencia. También es fundamental capacitar al personal sobre la seguridad de los datos.
Las empresas deben proteger los datos contra:
- Acceso no autorizado
- Destrucción o daño de los datos
- Pérdida o alteración de la información
- Divulgación no permitida
En lo posible, los datos personales deben ser encriptados, pseudonimizados o anonimizados. Esto significa eliminar o reemplazar información que pueda identificar a una persona.
Además, realice evaluaciones de impacto antes de usar datos de manera que pueda representar un alto riesgo para los derechos y libertades de los individuos.
Notificación de violaciones de datos
Se debe establecer un protocolo formal para notificar a las autoridades y a las personas afectadas en caso de una violación de datos. Según marca la ley, se debe comunicar cualquier brecha en un máximo de 72 horas tras el incidente. Además, no solo se debe avisar a la autoridad competente, sino también a los interesados, es decir, las personas cuyos datos se han visto comprometidos.
5. Responsabilidad y Gestión
¿Cumples con lo que marca el Reglamento acerca de la responsabilidad y gestión de los datos? Las empresas deben tomar medidas para garantizar que cumplen con el RGPD y que sus empleados están informados sobre sus responsabilidades.
Si es necesario, designa un DPO que supervise el cumplimiento del RGPD. Éste debe ser un experto o experta independiente y además tiene que contar con acceso a la información para llevar a cabo su función.
Ningún miembro dentro de una organización está exento de cumplir con el reglamento. Por eso, recuerda en tu lista de verificación revisar si su personal está formado en protección de datos.
Además, si trabaja con proveedores, por ejemplo un consultor externo, debe firmar acuerdos de procesamiento de datos. Así podrá responder por terceros que manejen datos personales en su nombre.
Si su empresa está fuera de la UE, designe a un representante en uno de los Estados miembro de la UE o del EEE. Esta persona será quien responda ante las autoridades de control y atienda las solicitudes de cualquier persona.
6. Derechos de Privacidad
La privacidad es un derecho fundamental de los ciudadanos de la UE. Por tanto, asegúrese de cumplir esta lista de verificación al respecto de ello:
- Facilite a sus clientes la solicitud de acceso a su información personal
- Permita a sus clientes actualizar su información personal fácilmente para mantenerla precisa
- Automatice la eliminación de datos que ya no sean necesarios
- Facilite a sus clientes solicitar el cese del procesamiento de sus datos
- Dé la opción de la eliminación de sus datos personales
- Permita la portabilidad o transferencia de datos permite a sus clientes
- Asegure el derecho de los clientes a objetar el procesamiento de sus datos
Formación y Concienciación
Como se ha mencionado, es fundamental capacitar al personal sobre el RGPD y la importancia de la protección de datos. La formación debe ser regular y estar actualizada con los últimos cambios en la legislación.
Así, los profesionales pueden tener claras sus responsabilidades en materia de protección de datos. Asimismo, se reduce el riesgo de errores humanos por falta de conocimiento de las normativas. Con todo ello, además, la empresa demuestra el compromiso por proteger los datos, lo cual incluye la información privada de los propios empleados.
Conclusión
Las empresas deben cumplir la normativa definida en el Reglamento General de Protección de Datos, sin embargo no basta con buenas intenciones. Una checklist del RGPD es una herramienta crucial para garantizar el cumplimiento y la protección de la privacidad de los datos.
Es una excelente forma de revisar si se están siguiendo todos los pasos necesarios para proteger la información personal tratada. En este sentido, los negocios de cualquier sector y tamaño deben asegurar su compromiso con la ley.
Descargo de responsabilidad: Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.