¿Como afecta la nueva RGPD a las PYMES?

El 25 de mayo de 2018 entró en vigor el nuevo Reglamento General de Protección de Datos (RGPD) en toda Europa. Por ello, en la entrada de hoy vamos a hablar de los principales cambios que incluye, cómo afecta la nueva normativa a las PYMES y lo que debemos tener en cuenta a partir de ahora en el tratamiento de los datos personales.

¿Qué es el RGPD?

La nueva ley de protección de datos ha cambiado por completo el tratamiento de la información personal. Aunque no nos demos cuenta, en ocasiones recabamos datos que están protegidos por la legislación, como por ejemplo cuando le pedimos a un usuario que rellene una ficha de contacto en nuestra página web o solicitamos datos confidenciales por teléfono.

El RGPD ha sido implementado en Europa y el Reino Unido, afectando a todos los autónomos, entidades, organismos públicos y empresas que proporcionen bienes y servicios dentro del territorio de la Unión. El objetivo es proteger a los usuarios de los actos malintencionados y para ello las compañías deberán mejorar la seguridad y el control de los datos.

¿Cómo afecta la ley de protección de datos a las empresas?

Aunque esta ley existe desde 2016 y se dio de plazo hasta 2018 para implementarla, buena parte de empresas no están preparadas hoy en día para hacerle frente. En este sentido, las PYMES v autónomos son los más perjudicados, ya que la mayoría desconoce los cambios y no tiene ni tiempo ni dinero para adaptarse a ellos.

Esto es algo a tener en cuenta, ya que podríamos perder el acceso a la base de datos de nuestros clientes. Además, el RGPD contempla sanciones para los negocios que no se actualicen en mayo, con importes equivalentes al 4% del volumen de negocio de la empresa que pueden ascender hasta los 20 millones de euros.

¿Qué deben tener en cuenta las PYMES para el tratamiento de datos personales?

El principal objetivo del nuevo reglamento es proporcionar más garantías al ciudadano con respecto al tratamiento de sus datos y se divide en seis grandes apartados. El primero de ellos es el establecimiento en las PYMES del principio de responsabilidad proactiva, es decir, que es necesario realizar un seguimiento diario y anotarlo todo en un registro de actividades de tratamiento.

Hay que explicar detalladamente a nuestros usuarios el tipo de información que tenemos, el uso que vamos a darle y el tiempo que la necesitamos. Una vez transcurrido, debemos comprometernos a destruirla por completo. En relación con este punto, el cliente debe dar su consentimiento explícito y específico para cada tipo de datos, por lo que las PYMES tendrán que renovar su consentimiento.

Cada empresa debe encargase de llevar a cabo un análisis de riesgo y hacerse responsable si se produce una brecha de seguridad y los datos llegan a ojos de terceros. Llegados a este punto, estaríamos obligados a notificar este fallo en menos de 72 horas a la Agencia Española de Protección de Datos (AEPD).

Una de las nuevas figuras que aparecen en el RGPD para autónomos y PYMES es la del Delegado de protección de datos (DPO), que tendrá la misión de buscar posibles riesgos y solucionarlo. No es obligatorio que las empresas tengan un DPO, excepto en determinados casos, pero la CEPYME aconseja contar con esta figura para prevenir el mal uso de datos y las consecuentes sanciones, mejorando en general el funcionamiento interno de cada negocio.