En el mes de mayo entró en vigor la nueva normativa que regula el tratamiento y custodia de los datos de particulares por parte de las diversas organizaciones existentes, lo que supuso un cambio trascendental en este sentido en toda la Unión Europea. Desde esta fecha, la citada normativa es de obligado cumplimiento, pero es un tema que continúa generando numerosas dudas. Por eso, respondemos a la pregunta que se plantea de manera frecuente, ¿cumple mi empresa los requisitos del nuevo Reglamento General de Protección de Datos?
Actualmente, el cumplimiento no se está llevando a cabo de manera adecuada en el continente europeo y así lo demuestra una investigación realizada por la empresa Talend, dedicada a la integración de datos en ‘cloud’, durante los meses de junio, julio y agosto del año 2018, en empresas de Suecia, Alemania, Francia, Italia, Reino Unido y España.
En ella se analizaba el cumplimiento de los requisitos y los plazos obligatorios establecidos para la contestación a los usuarios que hubieran realizado peticiones relacionadas con los artículos nº 20, de “Derecho a la portabilidad de los datos” y nº 15, de “Derecho de acceso del interesado”, mediante los cuales debe ser facilitada una copia de los datos personales a los clientes que así lo reclamen.
Del citado estudio se desprende que un 70% de las compañías analizadas no proporcionaban los datos requeridos en el tiempo medio que establece el Reglamento, ya que de media se tardan como mínimo 21 días en contestar.
La compañía de integración de datos en ‘cloud’ Talend ha analizado en este estudio las respuestas ofrecidas en los meses de junio, julio y agosto de 2018, obteniendo las siguientes conclusiones:
- El 35% de las empresas analizadas proporcionó los datos solicitados a los usuarios. Fuera de Europa, el porcentaje asciende hasta un 50%. Por tanto, aunque ascienda a la mitad y quede todavía lejos del 100% como debe ser, la adaptación está siendo mejor.
- La mayoría de las empresas, un 70 %, no son capaces de proporcionar los datos personales a sus usuarios en el tiempo establecido. El tiempo medio de respuesta ha sido de 21 días.
- Los minoristas son los que menos cumplen con los requisitos legales del nuevo Reglamento. De hecho, un 76% no respondió a las peticiones que hicieron los usuarios en este sentido.
- De las peticiones realizadas al sector financiero se atendieron el 50%.
- De las peticiones que se efectuaron a servicios de banca móvil, tecnología y streaming, tan solo tardaron un día en responder.
Por tanto, en base a este estudio, se puede afirmar que todavía hay un gran número de empresas y profesionales, que, aunque están obligados, no cumplen el RGPD. Por tanto, los usuarios desconocen lo que hacen con sus datos, al igual que si cumplen o no con los derechos que tienen en materia de protección de los mismos.
Para saber si realmente se está aplicando adecuadamente este Reglamento, es necesario descubrir si se están cumpliendo los requisitos establecidos. Vamos a comprobar si es así.
Realmente cumple mi empresa los requisitos del nuevo Reglamento General de Protección de Datos
Consentimiento del tratamiento de datos de usuarios y clientes por escrito
Es una cuestión principal, básica, primordial y de obligado cumplimiento para todo tipo de profesionales y organizaciones. De hecho, lo establece claramente: “Para poder almacenar y procesar los datos de los clientes es obligatorio tener su consentimiento expreso”.
Además, hay que tener dicho consentimiento debidamente guardado y conservado.
Garantía de eliminación de datos de los usuarios o clientes de los ficheros
Todo profesional u organización debe poder garantizar que los datos serán eliminados cuando así lo solicite el usuario o cliente o cuando ya no tenga motivos legales para su conservación.
Además, deberá facilitar una forma de eliminación que garantice el derecho al olvido de dichos datos y por supuesto que no van a ser traspasados a terceros en ningún caso, a no ser que sea el usuario o cliente quien lo solicite.
Comprobar si está obligado a tener un Delegado de Protección de Datos
El nuevo reglamento establece que será obligatoria la designación de un Delegado de Protección de Datos en los casos siguientes:
- Que el tratamiento de datos sea gestionado por una autoridad pública.
- Que sea precisa una observación sistemática de datos a gran escala de forma habitual.
- Que los datos manejados sean de carácter sensible o referentes a condenas y/o infracciones penales.
- Que se trate de las siguientes organizaciones:
- Centros docentes.
- Colegios profesionales.
- Clínicas médicas que tengan historiales médicos.
- Entidades en las que se lleven a cabo actividades publicitarias y prospecciones de carácter comercial.
- Todas las organizaciones en las cuales sea recomendable el nombramiento de dicha figura para garantizar que se cumple de manera efectiva la normativa correspondiente a la protección de datos.
Como se puede comprobar, todavía la gran mayoría de organizaciones no están aplicando correctamente la normativa. Por tanto, si necesitas comprobar si tu empresa cumple los requisitos del nuevo Reglamento General de Protección de Datos, contacta con nuestros especialistas que harán un análisis y elaborarán un plan de acción para que esté todo en orden y así evitar futuras sanciones.