fbpx
6 hábitos que debes cambiar tras la nueva Ley de Protección de datos

6 hábitos que debes cambiar tras la nueva Ley de Protección de datos

Hoy hace 3 años de la entrada en vigor del Reglamento Europeo en materia de Protección de Datos, conocido como RGPD. Por eso queremos recordar 6 hábitos que debes aplicar en tu empresa para cumplir la Ley de Protección de Datos y RGPD:

 

1. Protege tu equipo informático

Seguro que confías plenamente en tu entorno de trabajo y muchas veces, cuando te levantas a realizar alguna gestión, dejas abierta tu sesión en el ordenador, porque reconozcámoslo, nos da mucha pereza introducir la contraseña de nuevo e iniciar sesión.

Tras el RGPD lo correcto sería dejar bloqueado tu equipo cuando te ausentes de tu puesto de trabajo. Y por supuesto, no compartir tus contraseñas, ni apuntarlas en lugares visibles. Estos gestos ayudarán a proteger el contenido de tu ordenador.

Ahora que el teletrabajo se ha extendido en muchas empresas, se ha incrementado el uso de memorias externas y USB con datos de clientes o claves. Estos deben ser custodiados debidamente.

Otro hábito saludable es no guardar contraseñas importantes en el «llavero» de Google Chrome o Mozzilla. ¿Sabías lo fácil que resulta para cualquier informático averiguar tus contraseñas desde este llavero?

 

2. Vigila estos detalles cuando envíes email 

Uno de los pasos fundamentales para adaptarse al RGPD es cambiar la firma de tu email, incluyendo las referencias normativas al Reglamento, e informando al usuario al que se envía sobre sus derechos y obligaciones de confidencialidad.

Y por supuesto, se debe especificar qué fin se dará a sus datos y a quién deben dirigirse en caso de no querer que se le continúen enviando emails.

Muy importante: Suele ser el error habitual, cuando envíes un email a varias personas, utiliza siempre la opción CCO. Es decir, con copia oculta. Esto te evitará muchos problemas, ya que si no lo utilizas, estarás enviando el contacto de email de personas a un tercero sin su autorización.

Y por último, todo el personal debe ser informado sobre el uso de internet y correo corporativo, que debe ser sólo con fines profesionales

 

3. Mantén tu espacio ordenado y sin documentación confidencial

Aquí más de uno/a se estará llevando las manos a la cabeza, porque cuidar este tipo de detalles en pleno mes de impuestos puede ser una locura, ¿verdad?

El RGPD afecta a todos los datos, también a los incluidos en documentos impresos. Si por algún motivo alguno de estos datos llegan a personas inadecuadas, puede suponer un riesgo para tu empresa.

Si dispones de archivo físico, lo recomendable es que establezcáis un protocolo para su uso y que todos los documentos que allí se guardan estén protegidos de alguna manera. Por ejemplo, una cámara de seguridad o un cierre con llave.

En el caso de usar una impresora o escáner, no olvides retirar los originales y todas las copias que hayas hecho.

 

4. Atender adecuadamente a los clientes que quieren ejercer sus derechos 

Tras la entrada en vigor del Reglamento recibimos infinidad de emails informando sobre las políticas de privacidad, sobre el uso de tus datos, y ya llega un momento que ni los leemos, ¿verdad?

Bien, pues debes saber que en la mayoría de ellos te informan sobre tus derechos como usuario, con la entrada en vigor de la nueva normativa tienes derecho a ser informado sobre los datos que constan sobre ti, a su rectificación, y por supuesto a solicitar la baja si no deseas recibir más emails comerciales.

Esto te puede ocurrir también con tus clientes, que te soliciten ejercer sus derechos.

Es fundamental que todas las solicitudes de baja se atiendan adecuadamente y se les dé una respuesta ágil confirmando la baja en tu base de datos.

Y más importante aún, si han solicitado la baja, debes recopilar todas estas solicitudes para evitar enviarle emails de nuevo por error.

Si utilizas alguna herramienta para el envío de email como Activecampaign o Mailchimp, suelen tener un listado donde se almacenan todos los email que han solicitado su baja del fichero e impiden que se le envíen nuevos email a los usuarios incluidos.

 

5. Disponer de un consentimiento informado para recoger los datos

A la hora de recoger los datos de clientes, bien sea vía online, como de forma impresa, tus formularios deben contener un consentimiento informado donde les facilites todos los detalles sobre el uso de esos datos.

El consentimiento informado debe permitir que haya una aceptación «libre, específica, informada e inequívoca por la cual el interesado acepta, mediante clara acción afirmativa, el tratamiento de sus datos personales». Como puede ser por ejemplo, la marcación de un «check box» antes de enviar un formulario en tu web.

En caso de incidencia, tu empresa estará obligada a demostrar que cuenta con ese consentimiento informado para usar los datos de los clientes.

 

6. Conserva los datos según los plazos legales

Algo que también se debe cumplir con rigurosidad, tras la entrada en vigor del RGPD son los plazos de conservación de los documentos.

Según indica el Reglamento, no se deben conservar estos datos más allá del necesario para cumplir con el servicio o del tiempo legalmente establecido.

Normalmente en un despacho profesional este tiempo puede oscilar entre 4 y 10 años, por motivos relacionados con la Ley de prevención de blanqueo de capitales y para atender a posibles requerimientos de las autoridades.

A continuación te ofrecemos un resumen de lo más destacado y sus referencias normativas:

  1. Datos contables y mercantiles: 6 años. (Artículo 30 CC).
  2. Datos fiscales (liquidaciones, deuda, devoluciones, etc..): 4 años. (Artículo 66 de la Ley 58/2003).
  3. Seguridad Social: 4 años. (Artículo 4.2 del Real Decreto Legislativo 5/2000).
  4. Prevención de Riesgos Laborales: 5 años. (Artículo 4.3 del Real Decreto Legislativo 5/2000).
  5. Currículum vitae: se recomienda como máximo un año. Lo recomendable es su destrucción una vez que se haya finalizado el proceso de selección para el que fueron recogidos.

Muy importante: debes informar a tus clientes sobre el margen temporal al que estás obligado a conservar la documentación que incluye sus datos.

Y una vez que ya no sean necesarios, deberán ser destruidos. En el caso del material impreso, te aconsejamos utilizar una destructora de papel o contratar los servicios de una empresa que te facilite una certificación de dicha destrucción si es mucho volumen.

Formación bonificada para empresas de Grupo2000

A continuación compartimos con vosotros esta infografía que hemos elaborado para que os sea más fácil cumplir con estos consejos y la podáis imprimir para tener a mano:

Infografia_LOPD_Grupo2000

Si te preocupa el tema del cumplimiento del Reglamento de Protección de Datos, también puedes leer los siguientes artículos de nuestro blog:

¿Cómo debe adaptarse mi despacho profesional al RGPD?

¿Cómo afecta la normativa de Protección de datos a las pymes?

Qué empresas están obligadas a tener delegado de protección de datos

 

 

 

 

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

¿Cómo debe adaptarse un despacho al Reglamento de Protección de Datos?

Comienza la cuenta atrás para la entrada en vigor de la nueva normativa en materia de Protección de Datos, este cambio afectará a todas las empresas y su forma de trabajar. Pero, ¿qué ocurre con las asesorías y abogados que se encargan de hacer los trámites para ellas? ¿Cómo debe adaptarse un despacho profesional al Reglamento Europeo de Protección de Datos?

¿Por qué es urgente la adaptación de un despacho a la RGPD? Fundamentalmente porque gestionan información con datos personales relevantes e información sensible de clientes. Además, el hecho de ya estar adaptados, dará más tranquilidad a las empresas que trabajan con éste.

En este artículo os ofrecemos algunos consejos para ir adaptando vuestra actividad al nuevo Reglamento:

Elaborar un registro de actividades

Un primer paso recomendable es elaborar un registro de actividades que contenga toda la información sobre el despacho: descripción de su actividad, quiénes sois, que tipo de actividades y datos manejáis, qué tratamientos de datos hacéis y cómo se gestiona todo en relación a vuestros clientes.

Así mismo, se deberán enumerar todas las medidas de seguridad que vuestra empresa va a adoptar.

En la web de la Agencia Española de Protección de Datos existe un test que te ayudará a realizar un primer diagnóstico sobre el tratamiento de los datos que hace tu empresa y posibles mejoras.

Revisar todas las cláusulas en documentación

Seguramente tu despacho ya tenga en sus emails y documentos cláusulas específicas destinadas a cumplir con la normativa actual de Protección de Datos.

Es aconsejable elaborar un listado de toda la documentación que se genera en el despacho, tanto impresa, como digital y actualizar toda esta documentación incluyendo las nuevas referencias informativas y cláusulas que exigen los artículos 13 y 14 del Reglamento.

Los contratos de todo tipo se ven afectados por esta normativa y deberán incluir cláusulas específicas. Así que también toca revisarlos.

Y por supuesto, si tenéis página web y utilizáis diferentes aplicaciones, tendréis que incluir consentimientos expresos. Recordamos que ya no servirá suponer la inacción como consentimiento, ahora hay que realizar una acción informativa para todos vuestros usuarios.

 

Análisis de riesgos y evaluación de impacto

Deberás realizar un análisis de los puntos de riesgo frente a la protección de datos y cuáles son las medidas a implementar para evitarlos o reducirlos. Igualmente, se deberán contemplar los mecanismos y procedimientos de notificación en caso de que se produzca una brecha de seguridad en el despacho.

Actualmente existe un alto riesgo para toda aquella documentación que se almacena online, que es susceptible de ser víctima de hackers. Si lo utilizas, asegúrate de que cumple unos estándares de seguridad y que el servicio esté encriptado para su protección.

También hay que corregir los hábitos respecto al uso y almacenamiento de datos, servidores, routers, creando un protocolo para velar por la seguridad de toda la documentación impresa, el procedimiento para su destrucción, etc..

En caso de incidencia, con el nuevo Reglamento, tu despacho estará obligado por el principio de responsabilidad activa a demostrar que ha tomado todas las medidas necesarias para evitarlo. Por eso es fundamental que conserves justificantes y registros de todas las acciones realizadas para este fin.

Una acción necesaria es informar a tus clientes sobre las repercusiones de la nueva normativa y los posibles riesgos. A partir de la entrada en vigor también necesitarás que te firmen un consentimiento inequívoco, no tácito, sobre el uso que vas a dar a sus datos (esto se aplicará a tus clientes y a sus trabajadores).

Lo ideal es conservar un justificante o recibí para poder acreditarlo posteriormente. Puedes leer nuestro artículo sobre cómo afecta el RGPD a las pymes.

El el caso de que trabajes con terceros, que te presten un servicio para tus clientes, debes asegurarte que presten un servicio adecuado, puedes solicitar un certificado de cumplimiento de la normativa.

 

¿Qué ocurre con la documentación que tengo que conservar?

Muchos estaréis pensando en la cantidad de datos y documentos que tenéis sobre las empresas, contratos, nóminas, etc.. existen obligaciones legales para la conservación de la mayoría de documentos, puesto que tienen que estar a la disposición de las diferentes autoridades frente a posibles requerimientos.

Es imprescindible informar previamente a los clientes sobre estas obligaciones y sus plazos. Este plazo puede ser de 4 a 10 años, e incluso hasta por 10 años, por prevención de blanqueo de capitales. El plazo variará según el tipo de datos. Según el artículo 8, es admisible que los datos se puedan conservar durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica, o de la ejecución de un contrato o de la aplicación de medidas pre-contractuales solicitadas por el interesado.

Por ejemplo, si un cliente solicita que cancelemos sus datos porque ya no va a contratar nuestros servicios, pero todavía nos debe facturas, no podremos borrar sus datos. En estos casos, los datos se quedarán «bloqueados» y no se podrán usar para ninguna finalidad, a la espera del pago.

Una vez que ya no sean necesarios, deberán ser cancelados, según establece el artículo 4.

¿Tengo que contratar a un Delegado de Protección de Datos?

Esta nueva figura que no siempre será obligatoria, dependerá del tipo de empresa y los datos que ésta maneje.

Será obligatorio para todas las empresas que realicen un tratamiento de datos de naturaleza especial (afiliación sindical, datos referentes a la salud, etc..).

También para aquellas que trabajen con datos que requieran una observancia habitual y sistemática de interesados a gran escala, por ejemplo si realizas campañas de email o manejas datos a través de tu web de un número considerable de usuarios.

Puedes ampliar información sobre las empresas obligadas a tener el Delegado aquí. En el caso de que tu despacho esté obligado, puedes optar por contratar a alguien en plantilla o a una empresa externa.

Los despachos de abogados deberán contar con la figura del Delegado siempre que por las actividades que realicen sean sujetos obligados de la Ley de Prevención de Blanqueo de Capitales.

Aunque no estés obligado a tener un Delegado, sí tendrás que designar siempre una persona responsable de privacidad, aunque ya no exista la obligación de comunicar ficheros, esta será la encargada de velar por el cumplimiento de esta normativa en el seno de la empresa.

Formación para adaptarse a un gran cambio

Los despachos profesionales son sin duda uno de los negocios más afectados por el nuevo Reglamento de Protección de Datos, por el alto volumen de datos que manejan y su naturaleza.

Por este motivo, tu plantilla debe estar formada, para poder realizar un tratamiento de los datos según la nueva normativa y evitar puntos de riesgo.

Además, la formación se contempla como una de las vías para reforzar las medidas tomadas por la empresa, y demostrar que ha cumplido con el principio de responsabilidad activa.

Nuestro centro de formación ha diseñado diferentes acciones formativas para ayudarte en esta transición:

Curso sobre la Ley de Protección de Datos 2018. Reglamento y nueva normativa. Duración 40 horas.

Curso sobre el nuevo Reglamento Europeo de Protección de Datos. Duración: 20 horas.

Curso de Delegado de Protección de Datos en el RGPD, Certificado por SGS. Duración: 180 horas.

 

Sin duda, son muchos frentes los que abarcar en esta transición. Puedes realizar todas las gestiones tú mismo, o contratar a una empresa experta para que realice el servicio de implantación. Si optas por esta última opción, comprueba previamente su experiencia, si disponen de seguro de responsabilidad civil, o realizan un seguimiento y mantenimiento.

 

Ir al contenido