¿Cómo cumplir con RGPD?

Si usted es una empresa u organización que recopila datos personales, es difícil saber cómo comenzar a cumplir. Sin embargo, la ignorancia no será una defensa viable. Es por eso que hemos reunido una lista de verificación completa de 9 pasos para ayudarlo a cumplir con GDPR.

1. ¿Qué datos recopilará?

Esa es la pregunta fundamental. Sepa qué datos necesita para proporcionar el servicio indicado. Pero recuerde, de acuerdo con el GDPR, solo debe recopilar datos personales esenciales para el propósito declarado.

Antes de recopilar estos datos, debe solicitar el consentimiento explícito del interesado. Eso podría ser un consentimiento por escrito o marcar una casilla. Pero debe poder demostrar que se dio el consentimiento.

Además, el consentimiento solo debe darse para un propósito específico. Si los datos se van a utilizar para múltiples propósitos, se debe dar un consentimiento informado y explícito para cada uno. También debe indicar claramente los diferentes propósitos. La transparencia es uno de los principios del RGPD.

2. ¿Cuánto tiempo almacenará los datos?

Decida cuánto tiempo se necesitará la información. Bajo el GDPR, los datos no pueden conservarse más tiempo del necesario. Por lo tanto, defina claramente en qué punto se eliminarán los datos, cómo y por qué.

También deberá proporcionar un mecanismo mediante el cual un sujeto de datos pueda rescindir su consentimiento. Eso significará que deberá eliminar sus datos personales.

3. ¿Cómo almacenará los datos?

Uno de los objetivos fundamentales del GDPR es limitar las violaciones de datos. Eso significa que deberá pensar mucho en cómo se almacenan los datos, asegurándose de mantener su integridad y confidencialidad.

Además, de acuerdo con el artículo 33, debe informar a la Asociación de Protección de Datos dentro de las 72 horas si se produce una violación de datos. También se le pedirá que notifique al interesado de la violación de datos, enumerando qué datos personales fueron expuestos.

4. ¿Qué edad tiene la persona que da su consentimiento?

Bajo el GDPR, solo las personas de al menos 16 años de edad pueden dar su consentimiento para la recopilación de datos personales. Por lo tanto, si recopila datos personales sobre usuarios más jóvenes, no cumplirá con GDPR y el consentimiento no será válido.

5. Nombrar un Delegado de Protección de Datos (DPO)

De acuerdo con el GDPR, una organización debe designar un DPO para cualquiera de los siguientes:

– Si los datos son procesados por una autoridad pública
– Si los datos recopilados se someten a un seguimiento sistemático
– Si los datos recopilados se procesan a gran escala

Aquí hay claramente ambigüedad, ya que el GDPR no define qué tan grande es la escala. Por lo tanto, a menudo es sensato designar a un DPO para supervisar su estrategia de protección de datos, independientemente de la escala de su recopilación de datos personales.

6. Mantén un diario del RGPD

Aquí, sería mejor si documentara cómo su organización practica el cumplimiento de GDPR. Eso incluye el mapeo de flujos de datos a través de su organización, todas las fuentes de datos y cómo mitigar el riesgo de violaciones de datos.

También proporciona cobertura en caso de que su organización sufra una violación de datos mientras implementa su marco de cumplimiento.

7. Doble opt-in para nuevos registros de listas de correo electrónico

Sí. Para cualquiera que se registre en su lista de correo electrónico, incluya un proceso de doble suscripción. Eso significa que deben confirmar su consentimiento dos veces. El primero ocurre cuando se completa el formulario de registro. El segundo consentimiento se produce a través del usuario haciendo clic en el enlace de confirmación enviado automáticamente después de completar el formulario de registro.

Si bien GDPR no especifica registros obligatorios de doble suscripción, es el alto estándar actual para la protección de datos y el consentimiento.

8. Escribe o actualiza tu política de privacidad

En una política de privacidad, una organización debe indicar claramente qué datos personales se recopilan y cómo se utilizarán. Siempre debe estar actualizado y disponible en el sitio web de la organización.

9. Evalúe rutinariamente los riesgos de terceros

Cumplir con GDPR no solo significa mantener su casa en orden. También se refiere al riesgo de datos presentado por terceros. Aquí, los datos pueden ser compartidos entre organizaciones. Eso requiere una conciencia continua de los riesgos de seguridad, con esfuerzos de remediación en su lugar.

Si bien ningún sistema puede estar 100% libre de riesgos, la evaluación rutinaria de los posibles riesgos de seguridad es fundamental. Querrá registrar sus hallazgos y acciones en el diario GDPR.