Checklist para el cumplimiento RGPD: evalúa tu gestión de datos personales

by Laura febrero 24, 2022
Checklist cumplimiento RGPD

Al mismo tiempo que el valor de los datos personales de los consumidores va en aumento, aumenta también la exposición a que las organizaciones recopilen su información para fines empresariales, sobre todo si se tiene en cuenta la presencia en el día a día de las nuevas tecnologías e Internet.

La nueva realidad en la que nos encontramos tras la pandemia producida por la COVID-19 ha dado paso a más canales que nunca a través de los cuales nos comunicamos y un alcance ampliado de interacciones con las empresas a través de distintos dispositivos: líneas fijas, líneas móviles, SMS, video conferencias, mensajería digital… Y debido a este aumento de canales por los cuales nos comunicamos con las empresas, se ha producido un uso más generalizado de los datos personales. Esto ha dado pie, a su vez, al surgimiento de muchas regulaciones que buscan controlar el uso que se hace de nuestros datos personales.

En general, el objetivo fundamental de estas recientes regulaciones y directivas comerciales, junto con otras leyes y códigos de conducta a nivel de cada país, es proteger a los clientes y a sus datos personales, evitar así el fraude, almacenar consentimientos y asegurar la transparencia del uso de estos datos. Aquellas empresas que no cumplan con los requisitos corren el riesgo de multas por incumplimiento, sanciones graves y daños a la reputación.

Una de las grandes regulaciones sobre protección de datos es el Reglamento General de Protección de Datos (RGPD) y, a continuación, te contamos qué es y qué factores deben tenerse en cuenta para cumplir con él.

<<< Aprende más sobre el Cumplimiento y cómo Recordia puede ayudarte >>>

El Reglamento General de Protección de Datos (RGPD)

El Reglamento General de Protección de Datos (RGPD) es la ley de privacidad y seguridad redactada y aprobada por la Unión Europea (UE), que entró en vigor el 25 de mayo de 2018 y regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales relacionados con ciudadanos de la UE. Pero, aunque fue redactada y aprobada por la UE, impone obligaciones a las organizaciones en cualquier lugar, siempre que apunten o recopilen datos relacionados con ciudadanos de la UE.

El RGPD representa una de las normativas más completas en la regulación de datos en los últimos tiempos. Afecta a la forma en que las empresas de todo el mundo abordan sus estrategias para la protección de datos externos (como la seguridad de los datos), así como el acceso y uso de datos internos. El objetivo es dar a las personas de la UE más transparencia y control sobre sus datos personales. Además, moderniza y consolida las normas de protección de datos de los Estados miembros individuales de la UE en virtud de la anterior Directiva de la UE en un solo reglamento.

Checklist para el cumplimiento de RGPD

Lograr el cumplimiento de RGPD no debería parecer una lucha. Por ello, te dejamos a continuación nuestra checklist de cumplimiento de RGPD la cual puede ayudarte a proteger a tu organización, proteger los datos de tus clientes y evitar costosas multas por incumplimiento. A pesar de que este listado está lejos de ser un documento legal exhaustivo, te ayudará a hacerte una idea de cómo superar el cumplimiento del RGPD. ¿Estás preparado para cumplir con esta regulación? Compruébalo a continuación.

Registro de consentimiento explícito:

Para cumplir con el RGPD, las empresas deben conservar un registro del consentimiento y este no puede ser implícito como surgía antes de esta normativa. Es decir, las empresas deben obtener el consentimiento de manera explícita y solamente después de informar a la persona sobre el motivo. Este consentimiento debe cumplir con las siguientes reglas:

  • El consentimiento es dado libremente, específico, informado e inequívoco.
  • Las solicitudes de consentimiento son «claramente distinguibles de los demás asuntos» y presentadas en «lenguaje claro y sencillo«.
  • Los interesados pueden retirar el consentimiento otorgado previamente cuando lo deseen, y se debe respetar su decisión.
  • Los niños menores de 13 años solo pueden dar su consentimiento con el permiso de sus padres.
  • Es necesario conservar la prueba documental del consentimiento.
  • Cuando actualizas tu política de privacidad, informa a los clientes existentes.

Bases legales y transparencia:

En este nivel, se deben cumplir los siguientes puntos:

  • Realizas una auditoría de la información para determinar qué información procesa y quién tiene acceso a ella. Las organizaciones que tienen al menos 250 empleados o realizan un procesamiento de datos de alto riesgo deben mantener una lista actualizada y detallada de sus actividades de procesamiento y estar preparadas para mostrar esa lista a los reguladores cuando así lo soliciten. La mejor manera de demostrar el cumplimiento del RGPD es mediante una evaluación de impacto de la protección de datos.
  • Tienes una justificación legal para tus actividades de procesamiento de datos. Solo es válido cuando el procesamiento sea necesario para:
    • Cumplir con un contrato.
    • Satisfacer los requisitos legales.
    • Proteger los intereses de uno o más participantes.
    • Por seguridad o los datos son de interés público.
    • Responde a los intereses legítimos del registrador, siempre que esos intereses no se anulen por los intereses de los interesados que requieren protección de datos personales.
  • Proporcionas información clara sobre el procesamiento de sus datos y la justificación legal en tu política de privacidad. Debe decirles a los clientes que estás recopilando sus datos y por qué, además de explicar cómo se procesan, quién tiene acceso a ellos y cómo los mantiene seguros. Esta información debe incluirse en tu política de privacidad y proporcionarse a los interesados en el momento en que recopila sus datos. Debe presentarse «de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo».

Seguridad de datos:

Se deben cumplir los siguientes puntos:

  • Los datos personales se almacenan de forma segura y se aplican controles de seguridad adecuados para evitar que personas no autorizadas accedan a los datos personales almacenados.
  • Se cifran, seudonimizan o anonimizan los datos personales siempre que sea posible.
  • Se realiza una evaluación de impacto de protección de datos, siempre que se planee usar los datos de las personas de tal manera que probablemente supongo un alto riesgo para sus derechos y libertades.
  • Tienes un proceso implementado para notificar a las autoridades (en un plazo de 72 horas) y a sus interesados en caso de una violación de datos.

Responsabilidad y gestión:

Se deben cumplir los siguientes puntos:

  • Tu empresa ha designado un Delegado de Protección de Datos (DPO) en caso de ser necesario, cuando el procesamiento lo realice una autoridad pública, el procesamiento sea la actividad principal de una organización a gran escala o se procesan datos de categorías especiales.
  • Capacitas al personal para que sea consciente de la protección de datos.
  • Se firma un acuerdo de procesamiento de datos entre tu organización y cualquier tercero que procese datos personales en su nombre.
  • Si su organización está fuera de la UE, designa a un representante dentro de uno de los estados miembros de la UE.

Derechos de privacidad:

Se deben cumplir con los siguientes puntos:

  • Es fácil para tus clientes solicitar el acceso a su información personal.
  • Es fácil para tus clientes actualizar su propia información personal para mantenerla precisa.
  • Se automatiza la eliminación de datos que ya no sean necesarios.
  • Es fácil para tus clientes solicitar que dejes de procesar sus datos.
  • Es fácil para tus clientes solicitar que se eliminen sus datos personales.
  • Tus clientes pueden solicitar fácilmente que se les entreguen sus datos a ellos o a un tercero.
  • Es fácil para tus clientes oponerse a que se procesen sus datos.

Si quieres conocer más sobre el cumplimiento normativo y la RGPD, haz clic aquí.

A continuación, te dejamos un documento donde podrás checkear cada una de estas condiciones y hacerte una idea de si cumples o no con el RGPD.

¡Nos leemos!

Compártelo / Share it