El RGPD y las pequeñas empresas

Con la fecha límite para la entrada en vigor del Reglamento General de Protección de Datos (RGPD, en adelante) al caer (¡el 25 de mayo!), muchas empresas trabajan todavía para garantizar que sus procedimientos de recopilación y tratamiento de datos cumplan con él.

La información sobre si el afecta a las pequeñas empresas ha sido confusa, por decirlo diplomáticamente. Ahora bien, la respuesta a si el RGPD afecta a las pequeñas empresas es rotunda: sí.

Cómo la nueva regulación sobre protección de datos o RGPD afecta a las pequeñas empresas y autónomos

Existen algunas disposiciones ligeramente distintas dependiendo del tamaño de una empresa, sin embargo, los requisitos generales del RGPD afectan por igual a las pequeñas empresas, sin importar cuán pequeñas sean.

La principal preocupación es la recopilación y el procesamiento de datos personales que, hoy en día, pueden ser fácilmente realizados por empresas de cualquier tamaño.

¿Es el RGPD diferente para las pequeñas empresas?

Brevemente y al grano: no. Es igual para todas las empresas que operan en la UE. Incluso las empresas que no tienen su sede en la UE pero recopilan y/o procesan datos personales de ciudadanos u otras fuentes de la UE deberán tomar las medidas adecuadas para garantizar su cumplimiento total o se enfrentarán a multas cuantiosas.

Las empresas que violen el RGPD recibirán una multa de hasta 20 millones de euros o lo equivalente al 4% de su facturación anual. Estas multas indican que el coste de violar la buena praxis sobre datos es grave y refuerza la importancia de garantizar el cumplimiento del RGPD antes de la fecha límite.

Las pequeñas empresas no están exentas de estos requisitos. Sin embargo, aquellas con menos de 250 empleados deben guardar un registro seguro de los datos que procesan con el fin de evitar una fuga de datos que pueda dañar algún derecho individual o pueda ir a parar a algún tipo de registro criminal.

¿Qué son los datos personales?

El RGPD se centra en los datos personales, pero ¿qué se considera exactamente como datos personales? Este es otro elemento que se está homologando para garantizar que la información que se incluye en esta categoría sea idéntica en toda la UE, ya que ahora difiere según los países.

Es importante señalar que bajo el RGPD, el término “datos personales” incluye una gama bastante más amplia de datos que la que ofrecen muchas definiciones hoy en vigor. La nueva regulación establece que los datos personales incluyen los de cualquier persona como:

  • Nombre.
  • Dirección.
  • Ubicación.
  • Información sobre ingresos.
  • Información de salud.
  • Identificador online.
  • Origen cultural.

Y muchos más. Si obtienes datos de este tipo en tu empresa, se consideran datos personales y, por lo tanto, tu empresa debe cumplir plenamente con el RGPD.

Cómo deben prepararse las empresas pequeñas

En España, la Agencia Española de Protección de Datos ha publicado una Guía para el Reglamento de Protección de Datos para responsables del tratamiento que podemos resumir en ocho puntos, inspirados en la guía publicada por su homóloga británica:

  • Examina todos tus datos: Realizar un análisis exhaustivo de qué tipo de datos recopila tu empresa y cómo los trata.
  • Determina el consentimiento del usuario: Si alguno de los datos que recopilas se consideran datos personales (en el sentido amplio del RGPD), deberás solicitar el consentimiento del usario para recopilar sus datos o enviarle publicidad o cualquier tipo de información.
  • Mejora la seguridad: Parte del RGPD implica aumentar las medidas de seguridad para evitar infracciones de los datos personales que posee tu empresa. Esto puede incluir el cifrado de datos, por ejemplo.
  • Proporciona acceso: Debes permitir que cualquier persona pueda exportar sus datos que posee tu empresa. También dicha puede solicitar la eliminación completa de sus datos al abrigo del "derecho al olvido".
  • Revisa tus proveedores y subcontratistas: Verifica que cualquier otra empresa o proveedor de servicios con el que trabajas o compartes datos cumple con el RGPD para evitar tener que tragarte cualquier marrón innecesario.
  • Sé transparente: Según el RGPD, debes explicar abiertamente por qué tu empresa recopila los datos personales de sus usuarios y clientes y para qué se usan. A menudo esto requerirá que acepten tus términos y condiciones y un acuerdo de procesamiento de datos.
  • Forma a tus empleados: Si tienes trabajadores a tu cargo, crea talleres, reuniones, seminarios, etc., para asegurarte de que están al día sobre lo que la nueva regulación significa para la empresa y cómo deben manejarse los datos en el futuro.
  • Contrata un Delegado de Protección de Datos (DPO): Un Delegado de Protección de Datos (Data Protection Officer o DPO, por sus siglas en inglés) no es del todo imprescindible, pero puede ser necesario en caso de que tu empresa trabaje con datos específicos, potencialmente confidenciales o con un control regular y sistemático de los interesados ​​a gran escala.

Los autónomos y el RGPD

Este blogpost se ha centrado en las pequeñas empresas, aunque los autónomos tampoco están exentos. Si tu negocio implica la recopilación o el uso de datos personales, debes seguir los mismos pasos que cualquier otra empresa para asegurarte de que cumple la nueva regulación.

Si bien eso puede implicar algunos costes iniciales para garantizar su cumplimiento, las multas por su incumplimiento son lo suficientemente elevadas para que adaptes tu actividad al RGPD antes de la fecha límite.

Debitoor y el RGPD

La seguridad de los datos de nuestros usuarios es primordial para Debitoor, que provee de un programa de facturación, por lo que hemos tomado medidas adicionales para analizar nuestro tratamiento de datos vigente y lo que debe cambiarse y ponerse al día para lograr el cumplimiento de la nueva regulación.

Lo hemos dividido en un proceso de tres fases para poder abordar con precisión cada aspecto del RGPD. Puedes leer más sobre los pasos que ha seguido Debitoor y cómo recopilamos y procesamos los datos en nuestra página de privacidad.

Escrito por Javier LópezJavier López, 12 Abril 2018