[wpdreams_ajaxsearchlite]
Multa gestión datos

Cómo evitar una multa por una gestión incorrecta de los datos

Lectura: 4 min | 14 Ene 20

El Reglamento General de Protección de Datos (RGPD) ya está completamente vigente para todas las empresas, sean grandes, pequeñas o medianas. Por tanto, estas deben realizar una gestión correcta de los datos para evitar una sanción económica. A continuación explicamos cómo lograrlo.

El principio de responsabilidad proactiva, descrito dentro del RGPD, requiere a cualquier empresa, independientemente de su tamaño, el deber de analizar qué datos tratan, con qué finalidad lo hacen y qué tipo de tratamiento llevan a cabo. Este principio básico del reglamento obliga a cualquier institución a adoptar una actitud consciente frente a la gestión de los datos personales.

Cada una debe demostrar, de manera transparente, qué es lo que hace con ellos. Esta tarea puede resultar complicada, especialmente para las Pymes, pues no cuentan con tantos recursos como las grandes corporaciones.

Ten en cuenta que el incumplimiento del RGPD puede llegar a tener sanciones de un valor de entre el 2 al 4% del volumen de negocio del ejercicio financiero anterior o de hasta 20 millones de euros. Te contamos qué tienes que hacer para evitar recibir estas multas.

 

Qué tienes que hacer para que no sancionen a tu Pyme

Como empresa debes tomar las medidas adecuadas para proteger los datos personales de tus clientes. Siguiendo estos pasos te resultará más fácil demostrar que has llevado a cabo una gestión correcta de los datos.

 

sanciones gestión de datos Pyme

  1. Designa a un Delegado de Protección de Datos

Aunque la empresa será la encargada de responder ante cualquier posible infracción del RGPD, puedes delegar determinadas funciones y obligaciones en materia de protección de datos en alguno de tus trabajadores. Puede ser una persona de la propia empresa o un colaborador externo. Es clave que tenga conocimientos jurídicos y prácticos en el asunto en cuestión.

  1. Forma a los empleados para que conozcan la normativa

Es importante que tanto tú como tus trabajadores sepáis cuáles son las responsabilidades y requisitos para cumplir con el RGPD. Por ejemplo, asegurar que el consentimiento es específico, inequívoco, libre e informado. Esta guía orientativa, elaborada por la Agencia Española de Protección de Datos (AEPD) puede servirte de apoyo. Indica, básicamente, cómo y por qué se debe informar al usuario.

  1. Consentimiento expreso

El consentimiento debe darse mediante una acción afirmativa clara. Antes se aceptaba el consentimiento tácito; es decir, se daba por hecho si el usuario no lo rechazaba explícitamente. Ahora, el usuario debe consentir expresamente la gestión de sus datos.

El consentimiento es uno de los fundamentos legales para el procesamiento de datos (junto con el contrato, intereses legítimos, obligaciones legales, etc.). Es decir, debes recoger pruebas suficientes que demuestren ese consentimiento explícito.

  1. Implanta un proceso de pruebas de seguridad de los datos cada cierto tiempo

Pon el foco en que la actividad de control y supervisión sea permanente. Es necesario tener todos los sistemas adecuados para demostrar que la gestión de los datos se está llevando a cabo correctamente.

  1. Informa de los ataques o brechas de seguridad

En caso de que tu compañía se convierta en víctima de un ataque informático o sufra una fuga de información, es obligatorio informar de lo sucedido a la AEPD en un plazo de 72 horas. La propia agencia ha elaborado una guía práctica para la gestión y notificación de brechas de seguridad. Te recomendamos tenerla siempre a mano para actuar de forma rápida y ordenada en caso de que sufras un ciberataque.

  1. Si cuentas con una página web, adáptala a la normativa

Independientemente de si tu empresa tiene una web de presentación de servicios, un blog o una tienda online, has de cumplir con la normativa RGPD. Y lo primero es adaptar tu site, para lo que deberás seguir una serie de pasos que recopilamos en este post.

  1. Facilita el “derecho al olvido”

Los usuarios son libres de decidir si quieren ejercer el derecho a la supresión. Es decir, impedir la difusión de su información personal en plataformas de Internet como buscadores cuando ésta es obsoleta. El RGPD obliga a borrar los datos personales de tus usuarios si así lo demandan.

  1. Ten cuidado si utilizas los datos para generar perfiles

Si utilizas esos datos crear perfiles destinados a procesar solicitudes de acuerdos legalmente vinculantes como préstamos, debes:

  • Informar a sus clientes del uso que le darás a sus datos. Tu Delegado de Protección de Datos tiene que verificar el proceso si el usuario rechaza la solicitud.
  • Ofrecer al solicitante el derecho de revertir su decisión.
  • Documentar e identificar de manera exhaustiva la base legal sobre la que se desarrollan los tratamientos.
  1. Implementa sistemas de recuperación de datos en caso de ataque o problema de índole tecnológica

Tan importante como tener medidas de prevención es contar con mecanismos de recuperación de datos. No siempre es posible evitar un ciberataque, por lo que tu Pyme debe estar tan preparada como pueda para paliar sus efectos si éste se produce.

  1. Valora la situación de la empresa

Teniendo en cuenta todos estos consejos, es conveniente realizar una valoración periódica de la situación de la empresa en materia de tratamiento de datos. Analizar los posibles focos de riesgo o chequear las medidas de seguridad vigentes son algunas de las principales acciones que debe realizar tu Pyme. En este aspecto te será muy útil esta guía que ha publicado la AEPD para que puedas verificar que tu negocio está cumpliendo con el reglamento.

Tratamiento de datos Pyme sanciones

¿Cuáles son las sanciones a las que se puede enfrentar tu Pyme?

En su artículo 83, el RGPD especifica que las multas se establecerán en función a la infracción de que se trate. Se identifican dos categorías distintas:

  • Las menos graves se sancionan con hasta 10 millones de euros o el 2% del volumen de facturación anual de la empresa. La multa siempre será la cantidad más alta de las dos.
  • Las más graves se sancionan con multas de hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa. Como en el caso anterior, la sanción se corresponderá con la cifra más alta de las dos.

Pongamos un ejemplo. Ceder los datos de un cliente sin que éste haya accedido específicamente a ello puede ser motivo de sanción. Además, este cliente tendría derecho a recibir una indemnización por los perjuicios causados.

 

Facilita RGPD, el asistente para las Pymes

La AEPD pone a disposición de las Pymes una herramienta fácil de usar y gratuita, llamada Facilita RGPD. Se trata de un recurso orientado a empresas cuyo tratamiento de datos es de bajo riesgo. Como por ejemplo, datos personales de clientes, proveedores o recursos humanos.

La herramienta genera diversos documentos como formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas. Es importante saber que la obtención de estos documentos no implica el cumplimiento automático del RGPD.

El entorno digital se encuentra en constante cambio y cada día que pasa amplía más sus campos de actuación. Adaptarse a esta transformación es clave para la supervivencia de tu empresa. Siguiendo estos consejos, empezarás a dar los pasos necesarios que te permitirán realizar la planificación, implantación y mantenimiento del sistema de protección de datos.

 

Suscríbete a nuestra Newsletter y recibe los artículos en tu email.