10 consejos para que tu Pyme evite multas por un tratamiento indebido de datos

/in /by

Particulares y empresas somos conscientes de la importancia que tiene la protección de datos personales. Pero desde que entró en vigor el Reglamento General de Protección de Datos (RGPD), parece que la situación se ha vuelto más complicada y pueden imponer sanciones a pymes por protección de datos.

El nuevo Reglamento General de Protección de Datos (RGPD) continúa causando quebraderos de cabeza a muchas pymes y autónomos, que aún no saben si lo están aplicando de forma adecuada. Las multas por incumplimiento pueden llegar hasta los 20 millones de euros o el 4% del volumen de facturación anual del negocio, en los casos más graves dependiendo de las siguientes cuestiones:

  • Naturaleza, gravedad y duración de la infracción cometida, así como número de afectados y el nivel de daños y perjuicios que han sufrido.
  • Presencia de intencionalidad a la hora de cometer la infracción, o bien de negligencia.
  • Si se han tomado o no medidas para paliar los daños y perjuicios que han sufrido los afectados.
  • Grado de responsabilidad del encargado del tratamiento de datos, para lo que se evalúan las medidas técnicas u organizativas de que se disponga para proteger los datos.
  • Grado de cooperación con las autoridades para intentar mitigar los efectos de la infracción cometida.
  • Tipos de datos de carácter personal que se han visto afectados.
  • En general, cualquier circunstancia atenuante o agravante que pueda resultar de utilidad.

Las empresas y los autónomos deben ser totalmente transparentes a la hora de indicar al usuario cómo van a utilizar sus datos, y además deberán tener el consentimiento explícito para ello.

Desde Hard2bit apoyamos una serie de recomendaciones y consejos para evitar multas por uso indebido de datos de “Ideas para tu empresa”

Forma a tus empleados

Es muy importante que todo tu personal conozca cuáles son sus responsabilidades y requisitos para cumplir con el RGPD. Esta guía orientativa, elaborada por la Agencia Española de Protección de Datos puede servirte de apoyo.

Asigna a un Delegado de Protección de Datos

A pesar de que la organización siempre será la encargada de responder a nivel jurídico ante cualquier reclamación, se debe delegar esas funciones y obligaciones en alguno de los trabajadores. Esta persona deberá tener los conocimientos adecuados para ello.

Consentimiento expreso

El consentimiento debe darse mediante una acción afirmativa clara. El usuario debe consentir expresamente la gestión de sus datos. Este consentimiento es uno de los fundamentos legales para el procesamiento de datos.

Implantación de pruebas de seguridad de los datos.

La actividad de control y supervisión debe ser permanente, por ello es conveniente realizar pruebas que eliminen cualquier riesgo de fuga de datos.

Informar de los ciberataques o brechas de seguridad

Si tu compañía se ha convertido en víctima de un ataque informático o ha sufrido una fuga de información, es obligatorio informar a la AEPD en un plazo máximo de 72 horas. Ten siempre a mano esta guía práctica para la gestión y notificación de brechas de seguridad para actuar de forma rápida y ordenada en caso de haber sufrido un ciberataque.

Adapta a la normativa tu página web

Da igual si tu empresa tiene una web de presentación de servicios, un blog o una tienda online, debes de cumplir con la normativa RGPD.

Facilita el “derecho al olvido”

Los usuarios deben ejercer el derecho a la supresión de sus datos en cualquier información que te haya facilitado por Internet. Debes utilizar herramientas disponibles para poder facilitarlo y asegúrate de que cuando un usuario lo solicite, todos sus archivos queden borrados de tu base de datos.

Cuidado si utilizas los datos para generar perfiles

Si utilizas esos datos para crear perfiles debes:

  • Informar a tus clientes del uso que le darás a sus datos.
  • Ofrecer al solicitante el derecho de revertir su decisión.
  • Documentar e identificar de manera exhaustiva la base legal sobre la que se desarrollan los tratamientos.

Implementa sistemas de recuperación de datos en caso de ataque o problema tecnológico

Es muy importante contar con mecanismos de recuperación de datos. No siempre es posible evitar un ciberataque, por lo que tu Pyme debe estar tan preparada como pueda para paliar sus efectos si éste se produce.

Valora la situación de tu empresa

Es conveniente realizar una valoración periódica de la situación de la empresa en materia de tratamiento de datos. Alguna de las principales acciones que debe realizar tu Pyme son analizar los posibles focos de riesgo o chequear las medidas de seguridad vigentes. Si quieres saber si tu negocio está cumpliendo con el reglamento puedes consultar esta guía publicada por la AEPD.