El RGPD, que entró en vigor en 2018, sigue planteando retos para las empresas de la Unión Europea. No sólo hay una falta de cumplimiento exhaustivo de la protección de datos en muchas empresas, sino que la aplicación de las normativas individuales también plantea muchas dudas en la práctica.

Sin embargo, es una falacia creer que se pueden pasar por alto las infracciones del RGPD. Por el contrario, se amenaza con sanciones millonarias relacionadas con el volumen de negocios. Pero, ¿cómo aplicar la protección de datos en la empresa? ¿Y qué obligaciones tienen que cumplir las empresas? En este artículo encontrará más información.

¿Necesita ayuda o tiene preguntas sobre la protección de datos? Nuestro equipo está formado por expertos en derecho de protección de datos, informática y seguridad. Estaremos encantados de ayudarle en una reunión personal no vinculante con cualquier pregunta abierta que pueda tener sobre la protección de datos.

Resumen de los hechos más importantes

  • Además de los requisitos sobre protección de datos, responsables de protección de datos, tratamiento de datos de empleados y obligaciones de divulgación, el RGPD también contiene muchas otras normas legales sobre la organización del tratamiento de datos.
  • Desde la introducción del RGPD en 2018, las infracciones de la protección de datos corporativos pueden costar a las empresas hasta 20 millones de euros en multas o entre el 2% y el 4% de la facturación anual. Razón suficiente para examinar más de cerca las obligaciones del RGPD.
  • Aunque el cumplimiento de las normas de protección de datos supone un gran esfuerzo, también debe verse siempre como una oportunidad. Porque, además de evitar multas elevadas, una buena protección de los datos también puede mejorar la imagen, reforzar la confianza de los clientes e influir positivamente en las decisiones de compra. Además, las revisiones de la protección de datos también conducen a mejoras de los procesos.

Por qué la privacidad de los datos es esencial para las empresas

No se puede negar que la aplicación de la normativa de protección de datos supone un trabajo a largo plazo. Por ello, muchas empresas ven los requisitos del RGPD como una carga más que se les impone y que significa sobre todo una cosa: esfuerzo. Sin embargo, además de la obligación legal, también hay algunas ventajas que el RGPD y sus obligaciones traen consigo.

Generar confianza y asegurar la ventaja competitiva

Hemos llegado a una época en la que el uso indebido de datos sino también daños para su reputación de tratamiento plantean más o menos riesgos y, en consecuencia, cuál debe ser el nivel de protección. ganarse o mantener la confianza del público.

De este modo, no sólo pueden conservar a los clientes y socios existentes, sino también captar otros nuevos y diferenciarse de la competencia. Pero los empleados también desarrollan un mejor sentido del riesgo en su trabajo y manejan con más cuidado los datos que se les confían si están suficientemente formados y educados.

Sensibilización en materia de protección de datos

Además, el RGPD "obliga" a las empresas a volver a examinar de cerca sus procesos y estructuras y a replanteárselos. Esto no sólo revela dónde existen riesgos con respecto a la protección de datos, sino también qué pasos de trabajo están quizás anticuados y dónde pueden simplificarse los procesos.

Si examina detenidamente todos los procesos de su empresa, podrá modernizarla y "limpiarla", es decir, prepararla para el futuro.

Considere el cambio actual como una oportunidad oportunidad para introducir cambios positivos en su empresa, normalizar procesos, poner todo al día e impulsar la digitalización .

¿Qué dice el RGPD sobre la protección de datos en las empresas?

En 2018 entró en vigor el Reglamento General de Protección de Datos (RGPD), que pretendía introducir normas uniformes en la Unión Europea para la protección de datos en empresas y autoridades públicas. El RGPD sustituyó así a las normativas legales nacionales y creó muchas innovaciones.

La protección de datos significa principalmente la protección de datos personales que no son o no deberían ser accesibles al público. Los datos personales son toda la información que concierne directamente a una persona física, es decir, a un ser humano, y que revela hechos sobre él o ella. Además de los nombres o las fechas de nacimiento, también se incluyen la religión, los datos sanitarios o que esa persona está vinculada a una empresa, ya sea como cliente, paciente o socio comercial.

El tratamiento de esta información se rige siempre por la protección de datos. Esto significa que existe la obligación de recoger sólo el mínimo de datos personales e impedir el acceso de terceros. Así que, en principio, sólo pueden recogerse en primer lugar los datos que sean necesarios. Además, estos datos deben protegerse de forma que no puedan filtrarse.

Además, las personas afectadas tienen derecho a determinar por sí mismas cuáles de sus propios datos desean revelar y si pueden ser procesados o transferido (la denominada autodeterminación informativa).

En lenguaje sencillo: cualquiera que recopile, almacene o procese datos en su empresa debe basar su tratamiento de datos en un fundamento jurídico y, por ejemplo, obtener el consentimiento de los afectados para el tratamiento. Una vez dado el consentimiento, los afectados tienen derecho a revocarlo en cualquier momento.

Protección de datos y publicidad: ¿cómo encajan?

Especialmente cuando se trata de publicidad, muchas empresas se sienten inseguras, ya que a menudo se dirigen a los clientes y se ponen en contacto con ellos directamente a través de determinados canales. En la mayoría de los casos, esto significa también procesamiento de datos al mismo tiempo.

También, o precisamente porque el RGPD no prevé ninguna regulación específica sobre el tema de las medidas publicitarias, creemos que es importante proporcionar a las empresas alguna información:

Protección de los intereses legítimos

Los datos personales sólo podrán utilizarse para insertar publicidad si no existe un interés superior del interesado en lo contrario, como la autodeterminación informativa.

Se presume que las empresas tienen un interés legítimo en el tratamiento de datos; al fin y al cabo, es importante para el crecimiento económico. No obstante, en cada caso habrá que sopesar qué datos personales se utilizan y si la protección de éstos debe tener mayor peso que la medida publicitaria.

En principio, los clientes y los clientes potenciales pueden seguir siendo contactados con publicidad directa. Según la nueva normativa RGPD, esto solo debe documentarse y controlarse de forma más estricta. Además, debe cumplirse la legislación aplicable en materia de competencia. En la mayoría de los casos es necesario el consentimiento previo.

Correos electrónicos y llamadas telefónicas

Nada ha cambiado aquí como resultado de la introducción del RGPD, ya que el sondeo telefónico o por correo electrónico está regulado por la Ley de Competencia Desleal y establece que el consentimiento del destinatario es y sigue siendo necesario para boletines informativos, llamadas telefónicas o contacto por correo electrónico.

Boletín de noticias

En el caso de los boletines informativos, siempre se requiere el consentimiento del destinatario. Además, las empresas ya deben informar al destinatario al inscribirse en el boletín de noticias a quién y con qué fin se transmitirán los datos.

En la mayoría de los casos, basta con remitirse a la información sobre protección de datos que (debe) facilitar en su sitio web. También debe existir siempre la opción de darse de baja del boletín.

Derecho de oposición

Todo destinatario de publicidad tiene derecho a oponerse al envío de publicidad en cualquier momento. Tan pronto como el afectado facilite sus datos, deberá indicársele el derecho a oponerse, además de la información de que los datos (también) se utilizarán con fines publicitarios.

Medidas técnicas y organizativas

Según el RGPD, las empresas deben garantizar una protección adecuada de los datos personales mediante medidas técnicas y organizativas adecuadas. Esto significa que hay que sopesar qué procedimientos sino también daños para su operaciones de procesamiento plantean más o menos riesgos y cuál debe ser el nivel de protección.

Las medidas técnicas se refieren a las operaciones de tratamiento de datos como tales. Se trata de medidas que pueden aplicarse físicamente, como la instalación de un sistema de alarma o una barrera luminosa.

Las medidas organizativas, por su parte, son las normas y condiciones de un acuerdo sobre datos. Aquí deben definirse líneas de actuación y establecerse principios que indiquen a los empleados cómo debe aplicarse la protección de datos.

Aunque el RGPD no prescribe ninguna línea de actuación, describe objetivos de protección de datos que las empresas pueden utilizar como guía. Sin embargo, la forma de conseguirlo queda a discreción de la empresa.

El factor decisivo para la elección de las medidas es el riesgo existente para los afectados y sus datos. Cuanto más arriesgado sea el tratamiento y más sensibles sean los datos, mayores deben ser las medidas de protección y seguridad de los datos.

Las empresas deben tomar medidas en los siguientes puntos:

  • Confidencialidad
  • Cifrado
  • Integridad
  • Pseudonimización
  • Disponibilidad
  • Recuperación de datos
  • Resistencia de los sistemas
  • Revisión, valoración y evaluación
  • Instrucción de los empleados

No es necesario aplicar todas las medidas técnicas y organizativas y tenerlas a mano en todo momento. Se trata más bien de un tipo de caja de herramientas de la que se seleccionan las medidas adecuadas y se integran en los procesos empresariales.

No obstante, tiene sentido proteger el tratamiento de datos con varias medidas. De este modo, su empresa está en el lado seguro y se protege de posibles incidentes que pueden suponer no sólo multas millonarias, sino también daños para su reputación .

Lista de control: Cómo aplicar las medidas técnicas y organizativas

    1. Compruebe que los contratos cumplen con el RGPD.
    2. Identifique todos los datos personales que usted o un proveedor de servicios procesa.
    3. Crear un registro de la actividad de procesamiento en el que se documenten las medidas.
    4. Analizar los riesgos del tratamiento individual de los datos personales.
    5. Utilice una evaluación del impacto de la protección de datos si es necesario.
    6. Examine detenidamente las medidas existentes y compruebe si son adecuadas. Utilice el estado de la técnica como guía.
    7. Asigne las medidas existentes a las nuevas categorías (véase más arriba) y añada las medidas necesarias.
    8. Ofrezca formación a sus empleados.

 

¿Por qué necesitan las empresas cumplir la normativa de protección de datos?

Cumplimiento significa adhesión a todas las leyes y directrices pertinentes para las empresas, ya sean nacionales o internacionales. Además de las normas pertinentes de Derecho mercantil y de sociedades, esto incluye también el Derecho penal y de protección de datos.

En los países de la UE, el RGPD es especialmente relevante. En la práctica, el cumplimiento exige velar por la conducta legal de la empresa en todos los ámbitos empresariales. En este contexto, en principio es irrelevante si se trata de los requisitos de la legislación laboral en el departamento de recursos humanos, la práctica contable en ventas o asuntos interdepartamentales.

En Por otra parte, el cumplimiento de la normativa de protección de datos significa la adhesión a la ley de protección de datos en la empresa. El objetivo central es evitar los riesgos de responsabilidad civil. También deben evitarse los daños a la reputación mediante la aplicación del cumplimiento de las normas de protección de datos.

Debido al avance de la digitalización y a los modernos procesos empresariales, no es posible una estrategia de cumplimiento sin tener en cuenta el RGPD. Por lo tanto, se requiere un sistema de gestión eficaz para el cumplimiento de la protección de datos, que debe supervisarse continuamente y seguir desarrollándose tras su implantación.

¿Cuáles son las sanciones por las violaciones de la protección de datos?

El incumplimiento puede acarrear sanciones sensibles para las empresas: la autoridad supervisora competente puede imponer hasta un 2-4 % del volumen de negocios anual alcanzado en todo el mundo por infracciones. Si se impone una sanción de este tipo, suele ocurrir en público. Así, una sanción puede repercutir en la imagen de una empresa e inducir a clientes, empleados y socios comerciales a boicotearla.

Hasta ahora, se han impuesto en Alemania unas 1.300 multas, por un total de 2.099.520.477 euros (a octubre de 2022). Las 7 multas más elevadas representan ya más de la mitad del total.

Si se excluyen estas infracciones de las empresas más grandes de Alemania, la multa media por empresa es de unos 400.000 euros. Además, el daño a la imagen suele permanecer en la mente de los consumidores durante años. Por ello, las empresas deben tener especial cuidado cuando se trata de la protección de datos y trabajar con expertos en la materia que puedan proporcionarles asesoramiento y apoyo completos.

Lista de control: Protección de datos para empresas

Excedería el ámbito de este artículo entrar en todas las obligaciones de las empresas. En nuestro centro de conocimiento, encontrará artículos exhaustivos sobre muchos de los requisitos de las obligaciones individuales, que explican exactamente qué pasos hay que dar.

A continuación hemos recopilado para usted una lista de comprobación que debería ilustrarle claramente por dónde puede empezar en su empresa:

  1. Delegado de la protección de datos: muchas empresas deben nombrar un delegado de la protección de datos. Los delegados de la protección de datos, tanto externos como internos, son responsables del cumplimiento del RGPD y asumen una función de control. La ventaja de un delegado de protección de datos externo es que ya tiene una formación especial y experiencia profesional.
  2. Registro de las actividades de procesamiento: Lleve un registro de todas las actividades de tratamiento en su empresa. Debe incluir, entre otras cosas, los responsables y la finalidad del tratamiento de los datos personales.
  3. Avisos de protección de datos: Los afectados deben ser informados sobre el tratamiento de datos. Estos avisos de protección de datos deben incluirse en todos los sitios web.
  4. Obligación de confidencialidad: todos los empleados deben ser informados por escrito sobre la confidencialidad de los datos personales y las obligaciones de confidencialidad y comprometerse a ello.
  5. Contratos de procesamiento de pedidos: Los proveedores de servicios que procesan datos personales externamente deben firmar un contrato de procesamiento de pedidos.
  6. Medidas técnicas y organizativas: Establezca un concepto con medidas técnicas y organizativas en su empresa, para mantener el riesgo del procesamiento de datos lo más bajo posible.
  7. Formación de los empleados: Forme a los empleados responsables de forma exhaustiva y periódica sobre las obligaciones y formas de trabajar con datos personales. No olvide incluir a los autónomos y otros proveedores de servicios.
  8. Plan de emergencia: A pesar de toda la preparación y precaución, siempre puede ocurrir un percance en materia de protección de datos. Elabore un concepto de qué hacer en un caso tan inesperado, cómo notificar a las personas afectadas y quién informará a la autoridad de control responsable. Todo esto debe hacerse en un plazo de 72 horas, por lo que es esencial elaborar de antemano un plan que entre en vigor automáticamente en caso de emergencia.

Conclusión

La aplicación de la normativa contenida en el RGPD supone, en efecto, mucho trabajo para las empresas. Sin embargo, también hay que reconocer que ciertamente se pueden extraer oportunidades y beneficios del RGPD.

Pero incluso si se busca una ventaja sustancial o un sentido en la protección de datos, se debe prestar atención a ello. Nunca hay que subestimar los riesgos.

Por lo tanto, debe tomar precauciones, identificar y eliminar los riesgos con tacto y tomar las medidas adecuadas para la mejor protección de datos posible. Al fin y al cabo, si es demasiado tarde, podría enfrentarse a una multa y, en el peor de los casos, a daños en su reputación. 

¿Tiene alguna pregunta sobre la protección de datos? Nuestro equipo, con formación jurídica y técnica, estará encantado de asesorarle ampliamente sobre todas las cuestiones relacionadas con la protección de datos. No dude en contactarnos en cualquier momento para una consulta no vinculante.

Artículos relacionados

Solicitar una demostración

+41 44 586 97 90

hello@priverion.com