Todas las empresas que guarden información sobre personas físicas europeas están obligadas a cumplir con el GDPR, una normativa europea que entra en vigor el 25 de mayo. En este artículo te detallamos en qué consiste la nueva ley, cómo afecta a las empresas y qué derechos tiene el usuario. Además, te explicamos como hacer uso de tus derechos dentro de Holded.
¿Qué es el GDPR?
Esta sigla que venimos leyendo y escuchando tantas veces nombrada durante los últimos días responde al Reglamento General de Protección de Datos (o en inglés General Data Protection Regulation), la nueva normativa europea que regula los datos personales que las empresas custodian.
En España la GDPR sustituye a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y, como en el resto de países de la Unión Europea, entrará en vigor el viernes 25 de mayo de 2018.
LEER MÁS: Por qué tu correo se ha llenado de mails sobre políticas de privacidad
Pese a que Holded no es una compañía centrada en el estudio de las leyes y las nuevas normativas, estamos trabajando para informarnos y cumplir convenientemente con los requerimientos legales que regulan el manejo de datos de nuestros usuarios. Teóricamente, con el GDPR cada usuario que cede sus datos debe autorizar de manera explícita la cesión de estos datos para una finalidad determinada.
Sin esa autorización, la empresa no podrá tratar datos personales en ningún caso –por ejemplo, los datos de los suscriptores de mailing–. De hecho, la nueva regulación afecta a todos los procesos en que la empresa trata datos personales, sin importar si son clientes, empleados o proveedores. Algunos ejemplos donde se gestionan datos personales son las tarjetas de fidelidad; cuando se cede la dirección de correo para estar al tanto de las promociones; cuando alguien se registra a una web para poder operar dentro de ella; cuando el empleado está en las redes sociales de la empresa; etc.
¿A quién afecta la GDPR?
La normativa afecta a cualquier empresa de cualquier parte del mundo que tenga datos de personas físicas de nacionalidad europea, es decir, de cualquier país de la Unión Europea.
¿Qué derechos tiene el usuario con el GDPR?
Hasta el 25 de mayo, cada empresa es completamente responsable de realizar todas las acciones necesarias para cumplir con la normativa GDPR. En el caso que nos toca, Holded cumple con los cuatro derechos asociados a la ley y que pasaremos a describir:
Derecho a la portabilidad
El derecho a la portabilidad es el derecho que tiene cualquier persona a solicitar los datos recogidos por la empresa sobre su persona en un formato aceptable como por ejemplo EXCEL, para poder disponer de ellos y llevarlos a otro entorno o plataforma.
Holded cumple con este derecho: desde el icono de Configuración, en el margen superior derecho, accedes a tu Cuenta y ahí exportas toda tu información. Los datos irán descargados en Excel, un formato aceptado por la GDPR.
Derecho al olvido
El derecho al olvido es uno de los derechos más importantes de esta nueva normativa. La GDPR establece que cualquier persona tiene derecho a solicitar a la empresa el borrado definitivo de sus datos. De todas formas el derecho al olvido tiene algunas excepciones y es que las empresas podrán guardar con fines de protección legal, es decir, para poder demostrar el cumplimiento de determinadas normativas, o en caso de tratarse de datos que puedan ser susceptibles de ser solicitados por las administraciones judiciales, también se podrán guardar pese a que el usuario solicite su eliminación. El plazo de almacenamiento de éstos datos será siempre el que determine la legislación asociada a esos datos.
Igualmente, en el icono de Configuración y luego en el apartado de Cuenta el usuario puede eliminar su cuenta el Holded y todos los datos asociados a ella.
Derecho al acceso
El derecho al acceso es el derecho de las personas físicas a solicitar a la empresa qué datos tienen sobre su persona.
Los usuarios de Holded pueden consultar para qué se están utilizando sus datos. En cualquier caso, sus datos no se utilizan para ningún propósito comercial más allá de estadísticas internas: tipo de empresa, número de empleados, actividad y datos financieros estadísticos.
Derecho a saber si nos han hackeado
El derecho a ser notificado si ha habido alguna fuga de datos es una obligación que tienen las empresas. La empresa dispone de un plazo de 72 horas desde la detección de la fuga de datos para notificar a las entidades correspondiente, en el caso de España a la AEPD y a aquellas personas cuyos datos pueden haber sido expuestos.
En Holded tenemos una política de seguridad de datos muy estricta, así como planes de actuación en caso de brechas de seguridad; dado el caso de un robo o fuga de información los usuarios afectados serán debidamente notificados en un plazo máximo de 72 horas.
Asimismo, con la nueva normativa europea la empresa debe:
- Registrar cuándo, cómo y qué cede el cliente. Es decir, si nos dejan el teléfono, debemos registrar la fecha y la hora en la que ha sido guardado ese dato, mediante qué canal y el texto exacto en el que cede su información.
- Informar en el momento de la cesión sobre los términos y condiciones de la custodia de estos datos personales. Entre otras cosas, se deberá informar sobre la finalidad de uso de los datos.
- Facilitar la posibilidad de que el usuario que ha cedido sus datos pueda revocar en cualquier momento y por el mismo canal dicha cesión.
¿Qué son los datos?
Los datos a los que hace referencia la GDPR son todos aquellos datos sobre personas físicas. Dentro de los datos la normativa distingue diferentes tipos de datos, de diferente sensibilidad y por tanto con regulaciones más o menos exigentes. Éstos datos son desde el nombre, el correo electrónico, una foto hasta la IP de tu ordenador. Los datos sanitarios por ejemplo son datos especialmente sensibles y por tanto todas las empresas que almacenan datos de salud sobre sus clientes o usuarios están sometidos a unas medidas más extensas y exigentes.
Ya no valen las casillas autocompletadas
Con las normativas anteriores era muy común aceptar las políticas de privacidad tácitamente, es decir, sin hacer ninguna acción expresa. Y en parte es normal, como usuarios muchas veces no nos acaba de importar esa política, más aún cuando sin aceptarla no podremos disfrutar del servicio que ofrece la empresa. Pero los mandatarios europeos han querido poner freno a ésta praxis y ahora es obligatorio tener la casilla de aceptación de la política de privacidad deseleccionada, y que sea el propio usuario que voluntariamente la completa.
¿Qué hacer si tus proveedores no cumplen la GDPR?
Las sanciones establecidas por el incumplimiento de la GDPR han causado mucha polémica. Y es que las sanciones son:
- O hasta 20 millones de euros
- O hasta el 4% de la facturación de la empresa sancionada
Se aplica el mayor de las dos.
Suena a una locura y más en un tejido empresarial europeo de pequeñas empresas cuya sanción es impensable poder cumplirla. Es evidente que la normativa se ha diseñado pensando en las grandes empresas de tecnología pero se ha redactado para que afecten e todos por igual.
Si observamos que una empresa no está cumpliendo con la normativa, lo primero que tenemos que hacer es ponernos en contacto con la empresa y concretamente con el Responsable de tratamiento de datos. De esta forma podemos hablar con la empresa para saber si se trata de un error puntual y de si es un error subsanable. En caso de no conseguir resolver el error, entonces podemos ponernos en contacto con la Agencia Española de Protección de Datos para notificar la situación.
La nueva política GDPR puede ser una oportunidad para renovar la relación cliente-empresa, a la vez que proporciona una mayor seguridad al usuario en el entorno digital. Desde Holded estamos en sintonía con este mandato europeo y siguiendo con el esfuerzo informativo, si algún cliente necesita precisar algún detalle, puede revisar nuestra política de privacidad en: holded.com/es/privacidad
Por otra parte, en caso de contar con una empresa que no ha sido correctamente digitalizada y quieres estar estar en línea con la GDPR, te animamos a registrarte en Holded donde podrás descargar el contrato de encargados del tratamiento en nuestra aplicación.
Una última precisión: la política de privacidad sobre datos personales afecta solo a los datos personales Esto quiere decir que los datos de empresas están excluidos del GDPR.
1 comentario en «Todo lo que debes saber sobre la regulación GDPR»