Read the rest of the post ' El riesgo de pedir demasiados datos personales en los Hoteles '
El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2018, y fue diseñado para que los ciudadanos de UE tengan más control sobre la información personal que entidades y compañías poseen de ellos. La regulación afecta a todas las empresas que tratan datos personales pero, ¿son conscientes las pequeñas y medianas empresas de cómo puede afectar a su negocio?
A pesar de la enorme publicidad que se le ha dado a la nueva enmienda a la ley de protección de datos europea, aun son muchas pymes las que desconocen las consecuencias de no cumplir sus disposiciones y requerimientos.
El esfuerzo que se ha hecho para difundir la comprensión de la regulación y asegurar el cumplimiento de las empresas no ha sido del todo eficaz. Según una investigación reciente sobre el grado de implicación de los gerentes de pymes realizada por Hiscox, un 39% no sabe a quién afecta el RGPD. Una falta de concienciación preocupante, ya que las pymes se exponen a un gran riesgo si ignoran la nueva regulación.
Cómo deberían las empresas procesar los datos de sus consumidores
Cuando gestionamos información de nuestro clientes (ya sea recopilando, guardando o eliminado) estamos procesándola, en términos del RGPD. Por eso, si accedemos a información, no importa durante cuánto tiempo, debemos ser conscientes de las reglas a las que debemos atenernos.
Estos son los seis principios legales a tener en cuenta en el uso, tratamiento y almacenamiento de datos de carácter personal.
- Consentimiento inequívoco del individuo. Se debe tener el consentimiento claro de la persona para tratar sus datos personales de una manera específica. Por ejemplo, cuando se recogen los datos introducidos en el navegador para ofrecer anuncios personalizados.
- Necesidad contractual. Los datos son necesarios para la ejecución del contrato. Por ejemplo, procesar datos de la tarjeta de crédito cuando el consumidor se registra para un periodo de prueba.
- Cumplimiento de obligaciones legales. Los datos se tratarán para cumplir con la obligación legal, como por ejemplo entregando los datos a una entidad regulatoria o como parte de una investigación criminal.
- Interés vital del individuo. El tratamiento es necesario para proteger la vida de una persona.
- Interés público. Hay que tratar los datos para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable de tratamiento.
- Interés legítimo del responsable de tratamiento de datos. El tratamiento es necesario para la satisfacción de intereses legítimos, como la protección contra el fraude, a no ser que haya razones fundadas para proteger los datos.
Hasta el momento, se ha hecho mucho hincapié en el consentimiento expreso de los afectados para reducir las comunicaciones comerciales no solicitadas. Uno de los efectos más notables ha sido el aviso de cookies que aparece en cada sitio web que visitamos e indirectamente se ha extendido la creencia de que siempre se requiere el consentimiento, olvidando por completo los otros cinco principios, muchos de los cuales suelen ser más relevantes.
Muchas pymes no cumplen la normativa todavía
Algunas empresas solo han hecho lo mínimo necesario, como actualizar el aviso de actualidad de su sitio web, y todavía les queda un largo camino por recorrer antes de cumplir plenamente con la normativa. La principal confusión parece ser la falta de comprensión de la naturaleza y el volumen de los datos que procesan.
No cumplirlo abre la posibilidad de que las entidades regulatorias tomen medidas, e incluso se pueda incurrir en sanciones económicas. Las violaciones de la nueva regulación se estudian caso por caso, haciendo hincapié sobre todo en la naturaleza de la infracción y teniendo en cuenta una serie de factores, como el número de consumidores que han sido afectado o si la empresa había cometido una infracción con anterioridad. Así, la decisión de imponer una multa y el tipo de categoría de multa dependerá de cómo responda la empresa ante la violación, así como la naturaleza de la misma.
Todavía hay tiempo para adaptarse al RGPD
La transparencia es la clave del RGPD y las pymes deben ser absolutamente claras y honestas sobre los datos personales que recogen y para que los utilizan. Contar con un seguro puede suponer la diferencia entre cerrar o continuar en el negocio. Nuestra póliza Hiscox CyberClear ofrece acceso a una amplia variedad de expertos, como forenses informáticos y especialistas legales, que pueden ayudar alas empresas a resolver un incidente lo más rápido posible y garantizar que se cumplen las obligaciones regulatorias.