El pasado 25 de mayo de 2018 entró en vigor la nueva normativa de Protección de Datos, a través de un Reglamento de la Unión Europea, que es de obligado cumplimiento por todos los países. En estos momentos, se está tramitando una Ley en el Parlamento español que sustituya a la normativa actual, adecuándose al reglamento europeo.
El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas, teniendo en cuenta las circunstancias propias de cada empresa. Es de aplicación obligatoria para los datos de carácter personal (que estén en una nube, en un ordenador o en papel, etc.), tanto si es por recogida, conservación, consulta, utilización u otro tratamiento de esos datos.
Seguro que la mayoría de las empresas son conocedoras del cambio del pasado 25 de mayo de 2018, pero una vez pasados los primeros días y perdido el “miedo a la nueva situación”, habremos ido perdiendo fuerza en la adaptación y el control.
Por tanto, es el momento de hacer una reflexión sobre si hemos hecho todos los cambios necesarios. En concreto, tendremos que revisar:
- Si todos los datos personales que tenemos (y de los que hacemos uso) se sustentan en un interés legítimo y/o tenemos el consentimiento expreso del interesado. Por ejemplo: hay que ver todas las direcciones de correos electrónicos a los que enviamos masivamente con contenidos informativos y al mismo tiempo publicitario, newsletter y, en general, cualquiera que se aparte del ámbito estricto del suministro de servicios a cada cliente.
- Si las cláusulas informativas en los documentos de recogida de datos, pies de correos electrónicos, formularios de la página web y sus políticas de privacidad y aviso legal, avisos de cámaras de videovigilancia, etc., se ajustan a los derechos de los interesados previstos en el RGPD.
- Si los tratamientos de los datos que estén externalizados se sustentan en un contrato de tratamiento de datos que vincule al encargado respecto del responsable.
- Si en el proceso de evaluación y mitigación de riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable de tratamiento ha previsto las medidas técnicas y organizativas apropiadas a fin de garantizar un nivel de seguridad adecuado al riesgo y poder demostrar que el tratamiento es conforme al RGPD.
- Si se ha documentado mediante un registro de actividades para cada uno de los tratamientos identificados, que habrá de contener el análisis de los riesgos, las cláusulas informativas a incluir en los formularios de solicitud de información, el documento a anexar en cada uno de los contratos de prestación de servicios y un anexo con recomendaciones sobre medidas de seguridad aplicables a los tratamientos de datos personales, permite al responsable de tratamiento establecer un enfoque proactivo en el tratamiento de datos personales y abordar con garantías la adecuación del despacho al RGPD.
- Si estamos obligados a nombrar a un Delegado de Protección de Datos (DPD o DPO) y, en caso afirmativo, si se comunicó este nombramiento a la Agencia Española de Protección de Datos (AEPD)
Como resumen, la relación con el cliente o proveedor está sustentada en un contrato, por lo que se pueden seguir enviando facturas, albaranes, notificaciones, correos, etc, basados en ese contrato.
Para enviarles algo fuera de la relación contractual que mantengamos (publicidad de otros productos no contratados, etc), lo mejor es recabarles el consentimiento y, sobre todo, en caso de duda, abstenernos de enviar nada. Si la información que se tiene es de una empresa, no sería información personal en relación con el Reglamento de Protección de Datos.
Importante, no hay que olvidarse de los archivos en papel. Esta normativa no se dirige exclusivamente a archivos informáticos, lo que ocurre es que hoy día este tipo de archivos (informáticos) son mayoría en las empresa, y esto hace que se nos olvide establecer protocolos de actuación en relación con la conservación, acceso, destrucción, etc, de la documentación en papel que contiene datos personales.
