Diez pasos para preparar su empresa para el RGPD (Reglamento general de protección de datos)

Incluso si su empresa no está ubicada en la UE

El Reglamento general de protección de datos es un nuevo conjunto de normas enmendado a la actual Ley de proyección de datos que pronto será obligatorio para aquellas empresas que tratan con consumidores europeos.

El 25 de mayo de 2018 el reglamento insiste en salvaguardar la información personal de todos los ciudadanos de los estados miembros de la Unión Europea. Si bien muchas empresas ya están alineadas con las especificaciones, es importante asegurarse de que su empresa lo tenga todo cubierto.

Este artículo echa un vistazo a lo que debe tener en su lugar para evitar ser encontrado en violación del GDPR.

Lo cierto es que estas nuevas reglas están dirigidas a grandes empresas que se ocupan de la información como fuente de ingresos. No es probable que las empresas más pequeñas se vean penalizadas con el 4% de los ingresos brutos mundiales o los 20 millones de euros que recibirán las grandes corporaciones si se encuentran en infracción.

Si le preocupa tener una montaña de trabajo por delante para prepararse, no debería estarlo. Si no está seguro de si se verá afectado, busque estas señales clave:

1. Trata la información como una mercancía;

2. Solicita los datos del usuario cuando completa una compra y usa los datos en otro lugar o los almacena;

3. Trata con uno o más países europeos.

Si la respuesta es no a ambos, ¡estará bien!

Entonces, ¿qué puedes hacer por si acaso?

Aquí hay 10 pasos que su empresa puede tomar para estar mejor preparada para el GDPR, incluso si no se encuentra físicamente en la UE.

1. Si su sitio web tiene un formulario en línea que incluye una casilla previamente marcada que da permiso para recibir correos electrónicos promocionales de terceros, esta casilla ahora debe estar desmarcada.

2. Si su empresa lleva a cabo cualquier forma de creación de listas, asegúrese de que todos en esa lista hayan dado permiso explícito para estar en ella. Según la PIPEDA canadiense, bastaba con tener un permiso implícito; sin embargo, si algún residente de la UE está en su base de datos, las reglas son mucho más firmes y otorgan a los suscriptores el derecho a obtener la información almacenada en ellos.

3. Asegúrese de que todo su personal conozca las nuevas reglas. Circule una nota a todo el personal con una reunión de seguimiento donde se revisan los puntos. Hacer algunas preguntas a los jugadores clave cuyos roles se verían más afectados por las nuevas reglas es una excelente manera de asegurarse de que estén al tanto de lo que deben hacer.

4. Audite toda la información de cliente / cliente almacenada y realice un seguimiento de dónde la obtuvo y dónde se ha utilizado. Mantenga un registro de toda la información y de a quién se la haya pasado en cualquier momento, y documente la relación y el razonamiento.

5. Actualice su política de privacidad para que incluya el razonamiento para retener los datos del usuario, cómo se usan legalmente y cómo los usuarios pueden comunicarse con su empresa si sienten que su información de usuario se está utilizando indebidamente de alguna manera.

6. Disponga de un método claro para atender las solicitudes de borrado de datos de un usuario. Según el DPA, los usuarios ya tenían ciertos derechos, pero el GDPR lo lleva más allá con los derechos de información relacionados con sus datos almacenados por su empresa.

Los derechos consisten en:

• el derecho a ser informado

• el derecho de acceso

• el derecho a la rectificación

• el derecho a borrar

• el derecho a restringir el procesamiento

• el derecho a la portabilidad de datos

• el derecho a oponerse

• el derecho a no estar sujeto a la toma de decisiones automatizada, incluida la elaboración de perfiles

Deberá poder proporcionar toda esta información en un formato claro y legible por máquina (no escrito a mano).

7. Disponer de un proceso para la entrega de grandes volúmenes de solicitudes. Anteriormente, bajo la DPA, las empresas tenían 40 días para cumplir con una solicitud. Eso se ha reducido a un mes. Cualquier solicitud legal debe cumplirse, sin embargo, si hay una gran cantidad de solicitudes y el supuesto razonamiento es causar problemas a su negocio, estas solicitudes pueden ser impugnadas legalmente.

8. Haga que su razonamiento legal para retener los datos del usuario o transmitirlos a otros se indique claramente para los usuarios y asegúrese de que la opción de suscripción no esté marcada previamente o no sea clara. Los usuarios deben tener una comprensión clara de por qué desea sus datos, qué hace con ellos y con quién puede compartirlos. Y deben tener la opción de decir que no. Esto es independiente de los Términos y condiciones.

9. Si su empresa trata con alguien menor de 16 años, necesitará el permiso de un padre o tutor para procesar los datos del niño. Esto es muy importante y está estrictamente regulado, pero al mismo tiempo, si no se trata de información como una mercancía, es probable que no tenga que preocuparse.

10. Adopte medidas para abordar una filtración de datos. En el caso de que los datos del usuario se vean comprometidos, deberá tener una forma de que todos los usuarios afectados sepan qué se vio comprometido y cuándo. Asignar a alguien internamente la tarea de coordinar la respuesta es una gran idea.

¡Y eso es! Como puede ver, es un gran problema empresarial y más arraigado en la protección del usuario en Europa, donde las redes sociales se han citado como problemáticas y susceptibles a la influencia extranjera.

En realidad, América del Norte no se ha visto muy afectada, pero el problema sigue siendo de gran interés periodístico, lo que puede poner nerviosos a algunos propietarios de pequeñas empresas cuando no es necesario. Al decir eso, este artículo de Small Business BC https://smallbusinessbc.ca/blog/the-small-business-impact-of-gdpr/ señala algunas posibles violaciones de datos aparentemente inofensivas que podrían ponerlo en riesgo de violación, como enviar tarjetas de felicitación a clientes que viven en la UE.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *