Auditoría GDPR: prepárate para el Reglamento de Protección de Datos

Share Increnta

Última actualización el miércoles, 11 de enero de 2023 a las 03:41 pm

La auditoría GDPR (General Data Protection Regulation) de la UE, que reemplaza la Directiva de Protección de Datos 95/46/EC, ha sido diseñado para equiparar las leyes de protección de datos en Europa.  Además de para proteger los derechos  de los ciudadanos de la UE referentes al tratamiento de sus datos personales.

A pesar de que las sanciones por su incumplimiento podrán alcanzar hasta los 20 millones de euros. En torno al 56% de las empresas en España no cumplían este reglamento hace a penas unos meses.

¿No estás seguro de si te afecta? La auditoría GDPR aplica a organizaciones que almacenan o procesan datos sobre individuos residentes en la UE, que tengan presencia física en al menos algún país de la misma. ¿Es tu caso? Si te afecta, inevitablemente debes cumplirlo.

 

Novedades del GDPR: cómo puede tu empresa afrontarlas

El pasado mes de noviembre, el Consejo de Ministros aprobó la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos con el fin de adaptar las leyes españolas a las disposiciones del GDPR. ¿Quieres saber qué cambios para tu estrategia de marketing digital conlleva este reglamento? Toma nota de sus principales novedades según Adigital.

En cuanto al derecho de los usuarios a ser informados sobre el tratamiento de sus datos personales, se incorpora el principio de transparencia. Además de contemplarse expresamente los derechos de limitación de tratamiento, acceso, rectificación y supresión.

Por otro lado, se adelanta la edad de consentimiento para tratamiento de datos a los 13 años y se contempla la protección de datos de personas fallecidas a solicitud de sus herederos.

 

Nueva llamada a la acción

 

Causas del tratamiento de datos de la auditoría GDPR

EL GDPR no aporta novedades esenciales sobre las causas que permiten el tratamiento de los datos, que siguen siendo:

  • La necesidad de dichos datos para realizar lo que haya solicitado el usuario como por ejemplo, participar en una promoción.
  • El consentimiento del usuario.
  • La necesidad de los datos del usuario o cliente para dar cumplimiento a una obligación legal o un interés público.

No obstante, la nueva normativa sí supone un cambio relevante en cuanto al consentimiento, pues establece que debe manifestarse a través de una declaración positiva (por ejemplo, una casilla no pre-marcada).

Con la llegada del GDPR se mantiene la prohibición de almacenar datos de especial protección como son: religión, orientación sexual, origen racial o étnico, afiliación sindical, ideología, y creencias.

Además de todo esto, con este nuevo reglamento de la UE, se promueve:

  • La figura del delegado de protección de datos.
  • La existencia de mecanismos de autorregulación tanto en el sector privado como en el público.

Ante esta tesitura, con tal de adaptarse al GDPR, las organizaciones españolas tienen que desarrollar e implementar un plan de actuación revisable para abordar los cambios regulatorios. En el mismo deben colaborar como mínimo representantes del departamento jurídico, recursos humanos, IT, marketing, dirección y cualquier otro implicado en el tratamiento de datos. Pero, ¿qué se debe incluir en dicho plan? Al menos estas 7 actuaciones básicas para cumplir las medidas organizativas, técnicas y a nivel de datos.

7 actuaciones básicas para cumplir las medidas organizativas, técnicas y a nivel de datos

  1. Mapeo de los datos que se tratan en la empresa con el fin de determinar dónde están, cuáles son los procesos para tratarlos, quién tiene acceso a ellos, cuál es su categoría de datos (sociodemográficos, de identificación, etc.) y qué utilidad tienen para la organización.
  2. Identificación del tratamiento de datos, que consiste en estudiar cuál es la causa que permite el tratamiento de datos según las anteriormente expuestas.
  3. Obligación de informar a los usuarios con un lenguaje sencillo y claro sobre la base jurídica del tratamiento; la existencia y contacto del delegado de protección de datos; la posibilidad de presentar reclamaciones ante la Agencia Española de Protección de Datos, y el plazo durante el que se van a tratar dichos datos.
  4. Atención a los derechos de los usuarios interesados. El GDPR crea nuevos derechos como el derecho a la portabilidad de datos y a la limitación del tratamiento. También establece que el plazo máximo para atender los derechos es de un mes y la atención ha de ser gratuita.
  5. Control de las relaciones entre el encargado (proveedores que tratan datos de los usuarios) y responsable del tratamiento de los datos (la empresa). El reglamento recoge, entre otras, la obligación de que las relaciones entre los responsables y encargados se formalicen por escrito.
  6. Medidas de responsabilidad proactiva. Las organizaciones deberán demostrar que actúan de manera diligente cada vez que vayan a efectuar un tratamiento de datos.
  7. Transferencias internacionales de datos. De acuerdo con el GDPR, es necesario revisar si se está haciendo algún tipo de transferencias de datos a países de fuera de la UE y en su caso, confirmar si se está haciendo con las garantías requeridas.

¿Cómo afecta el GDPR a tu estrategia de captación de leads?

El GDPR adoctrina a las organizaciones a implementar nuevos procedimientos de autorización, notificación y mecanismos de comunicación. Por lo que si tu empresa tiene una estrategia de captación de base de datos, tendrá que adaptar los formularios que utilizas en emailings y landings.

Tus formularios tendrán que incluir todos aquellos campos necesarios para que el usuario pueda indicar exactamente qué tratamiento consiente (o no). Además, se le deberá informar de manera transparente y concisa de:

  • La base jurídica del tratamiento de sus datos.
  • Los plazos de conservación de los mismos.
  • De la posible existencia de transferencia de información a otros países no pertenecientes a la UE.

 

Nueva llamada a la acción

 

Sin duda, con estas medidas de claridad, el reglamento mejorará la seguridad de la información personal de los usuarios y les ayudará a enfrentarse al spam con todas las de la ley. Gracias a la transparencia del GDPR, cada vez será más difícil el envío masivo de publicidad no deseada por el consumidor.

¿Qué me dices? Es muy posible que estés pensando lo mismo que yo: Está muy bien que una auditoría de GDPR dificulte el envío de publicidad masiva no deseada por el consumidor, que de alguna manera desprestigia las técnicas de email marketing. Pero, por otro lado, al añadir nuevos campos a los formularios, probablemente afectará a la captación de datos en el canal online. Así que, es fundamental buscar el mejor asesoramiento legal para tu empresa con tal de encontrar soluciones para hacerle frente…