Estás aquí:
Cómo cumple Quaderno con el RGPD
Has oído hablar del RGPD, sabes que es importante, pero ¿cuánto sabes -de verdad- acerca del Reglamento General de Protección de Datos europeo?
En este artículo te explicaremos los aspectos más importantes del RGPD:
- Cómo define el RGPD los ‘datos personales’
- Los fundamentos legales para que tu negocio pueda recoger datos personales
- Los derechos que los clientes tienen sobre lo que haces con sus datos
Cómo asegurarte de que tus políticas, contratos y procesos cumplen con la ley, para evitar cuantiosas multas.
Es más, vamos a guiarte por lo que hemos hecho en Quaderno para alinear nuestro equipo y producto en el cumplimiento del RGPD (para evitar cuantiosas multas).
¿Qué es el RGPD?
El RGPD (GDPR en inglés) es “el cambio más importante en cuanto a regulación de datos privados se refiere, de los últimos 20 años”, según la web de la GDPR. El anterior marco legal sobre Directiva de Protección de Datos se creó en 1995.
1995.
¿Cuál era nuestro concepto de ‘protección de datos’ en aquella época -antes de la era de múltiples dispositivos personales, compras a través de un clic y almacenar todo en la nube-? Está claro que las leyes de protección de datos necesitaban una actualización urgente y la comisión europea así lo ha hecho.
El RGPD está llena de estándares, altos y específicos, acerca de cómo una empresa debe tratar los datos personales de sus clientes. Esto incluye reglamentación sobre cómo recoges, procesas, almacenas y eliminas los datos de tus usuarios.
Los mayores cambios con respecto a la normativa anterior son:
- Un aumento de las auditorías internas y de la documentación sobre cómo tu negocio utiliza los datos
- Grandes exigencias de transparencia con los clientes
- Limitaciones estrictas sobre lo que puedes hacer con los datos personales
- Más derechos para los consumidores
- Penas más duras por incumplimiento
En resumen, el RGPD es más específico, más estricto y más serio. De hecho, las multas por incumplimiento son de hasta 20 millones de euros o el 4% de la facturación anual, lo que sea mayor. Definitivamente, no es algo para tomárselo a broma.
Ah, y afecta a todas las compañías que interactúen con consumidores -y sus datos personales- de la UE. Sí, incluso si tu empresa está en otro continente.
Qué se considera ‘datos personales’
El RGPD amplía la definición de «datos personales», más allá de los elementos típicos como el nombre, la dirección y el número de la seguridad social. Según el RGPD, los datos personales incluyen información que puede identificar directa –o indirectamente- a un individuo.
¿Cómo se puede identificar indirectamente a alguien? Bueno, a través de su actividad en Internet, por ejemplo. Datos web como la localización, cookies, etiquetas RFID y direcciones IP, son considerados datos personales del usuario.
Además, el RGPD garantiza una protección especial a algunos datos ‘sensibles’:
- raza o etnia
- opiniones políticas
- creencias religiosas o filosóficas
- afiliación sindical
- tratamiento de datos genéticos
- datos biométricos únicamente para la identificación como persona física
- salud
- vida sexual u orientación sexual
Así que, sí, casi cualquier información que recopiles sobre tus usuarios puede ser considerada ‘datos personales’ y se espera que los protejas todos por igual.
Pero, antes de que puedas procesar ninguno de esos datos de clientes, debes justificar por qué los recabas, en base a alguna de estas seis bases legales.
Los seis fundamentos legales para recabar o procesar datos personales
Además de extender la definición de los datos que deben de ser protegidos, el RGPD amplía los derechos garantizados a los individuos. Este es un listado de dichos derechos y algunas otras consideraciones que las empresas deben tener en cuenta.
- Derecho de acceso
- Derecho de rectificación
- Derecho de oposición
- Derecho de supresión («al olvido»)
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad
- Derecho a no ser objeto de decisiones individualizadas
- Derecho de información
Como empresa estás obligado a informar a tus clientes de estos derechos. Para ello puedes listarlos en tu página de política de privacidad y condiciones de uso.
En el caso de que un usuario realice una petición o queja, tienes 30 días para cumplir con ella. Un buen sistema de procesamiento de base de datos será de gran ayuda a la hora de asegurarte de que cumples con los plazos.
Para obtener una definición más extensa y detallada de estos derechos, puedes consultar el texto legal completo del RGPD.
Derechos de los consumidores sobre sus datos personales
Además de extender la definición de los datos que deben de ser protegidos, el RGPD amplía los derechos garantizados a los individuos. Este es un listado de dichos derechos y algunas otras consideraciones que las empresas deben tener en cuenta.
- Derecho de acceso
- Derecho de rectificación
- Derecho de oposición
- Derecho de supresión ("al olvido")
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad
- Derecho a no ser objeto de decisiones individualizadas
- Derecho de información
Como empresa estás obligado a informar a tus clientes de estos derechos. Para ello puedes listarlos en tu página de política de privacidad y condiciones de uso. En el caso de que un usuario realice una petición o queja, tienes 30 días para cumplir con ella. Un buen sistema de procesamiento de base de datos será de gran ayuda a la hora de asegurarte de que cumples con los plazos. Para obtener una definición más extensa y detallada de estos derechos, puedes consultar el texto legal completo del RGPD.
Cómo cumplir con el RGPD
Según lo comentado hasta ahora, cumplir con el RGPD implica un montón de trabajo de evaluación interna; entender y clarificar nuestras propios protocolos de negocio y ajustar la documentación y el procesamiento de datos a la normativa.
Llevar a cabo una evaluación interna
Un consejo común es que lleves a cabo una auditoría de los ‘datos personales’ de tu negocio. ¿Qué tipo de datos manejas ya? ¿Cómo los conseguiste y cómo los estás usando? Puede que descubras que ya cumples con la nueva normativa.
Desarrolla y documenta lo siguiente:
- Detalles de la empresa y del delegado de protección de datos (lo explicamos más abajo)
- Categorización de las personas, sus datos personales y los destinatarios de los mismos
- Propósito del procesamiento de datos junto con información precisa sobre sus fundamentaciones legales
- La planificación de la retención de los datos y su justificación
- Pruebas de las evaluaciones para los fundamentos legales
- Detalles de terceros que entren en contacto con los datos, incluyendo oficinas en el extranjero
- Registro de las medidas de seguridad llevadas a cabo por tu empresa, tanto a nivel tecnológico como organizativo
- El procedimiento para identificar brechas de seguridad y cómo se notificarán a las partes implicadas, en un plazo máximo de 72 horas
- Un política de privacidad escrita en lenguaje claro, pública y disponible, detallando todos los procesos de cómo los datos son recogidos, procesados y el porqué*
- Actualizar contratos con terceros para asegurarte de que cumplen con el RGPD
* El RGPD es muy claro en lo que se refiere a que la política de privacidad debe ser… ¡Muy clara! Esto significa: nada de jerga legal o técnica; debe explicar exactamente qué pasa con los datos personales.
Toda la documentación debe estar por escrito y debes implementar procesos de revisión para asegurarte de que se mantiene acorde con la ley, especialmente si tu negocio crece o el propio RGPD evoluciona. Lo que nos lleva el siguiente punto…
Asigna un Delegado de Protección de Datos si fuera necesario
Cualquier empresa con más de 250 empleados debe nombrar a un delegado de protección de datos para garantizar que la empresa recaba y guarda los datos de forma responsable. Algunas compañías puede que contraten a personal específico para esta tarea mientras que otras delegarán el título -y sus obligaciones- en empleados ya existentes.
Revisa cómo tus usuarios dan su consentimiento o exclusión voluntaria
Una de las novedades más importantes del RGPD es que debes obtener un consentimiento activo e inequívoco por parte del usuario. Nada de casillas preseleccionadas o vagas promesas de no mandar correo basura.
Debes asegurarte de que hay una opción para que los usuarios se den de baja de las comunicaciones comerciales en todo momento.
Cómo cumple Quaderno con el RGPD
Uno de los pilares del RGPD es el principio de responsabilidad, que establece que el encargado del tratamiento de los datos (p.e. la empresa) debe ser capaz de demostrar cómo cumple con la ley. ¡Considera este artículo como parte de nuestro cumplimiento!
La verdad es que ya cumplíamos casi totalmente con el RGPD antes de que se anunciara; la Ley de Protección de Datos española (LOPD) era ya muy estricta. El principal ajuste de Quaderno ha sido ser aún más transparentes en nuestros protocolos y asegurarnos de que todos nuestros proveedores cumplían también con el RGPD.
El mayor cambio ha afectado al marketing. Durante años recabamos contactos sin el consentimiento explícito al que el RGPD obliga ahora. Así que hemos ido un poco hacia atrás en el tiempo y hemos pedido a todos nuestros usuarios y suscriptores que nos dieran su ‘re’ confirmación para recibir contenido relacionado con Quaderno. De ahora en adelante pedimos a todos nuestros usuarios que nos den su consentimiento en todos los formularios que tenemos como soporte, solicitar demo, newsletter o crear cuenta nueva.
Esta es una lista rápida de los cambios que hemos implantado para asegurarnos de que cumplimos con el RGPD:
- Pedir la renovación de la confirmación a los suscriptores actuales sobre si quieren seguir recibiendo nuestros emails
- Crear nuevos formularios para clientes y suscriptores que incluyen casillas de verificación para las políticas de seguridad y las condiciones de servicio
- No usar o guardar ningún dato sin consentimiento explícito. Solo usamos los datos para asuntos estrictamente relacionados con el uso de la herramienta
- Añadir casillas de consentimiento en la aplicación para recibir notificaciones
- Clarificar aún más nuestra política de privacidad. Todo lo que hace Quaderno con los datos está aquí: qué información recogemos, dónde y por qué se guarda, las cookies que usamos, servidores, etc.
- Actualizar nuestras condiciones de uso para incluir detalles del procesamiento de datos
- Actualizar nuestro contrato de tratamiento de datos con información sobre qué datos almacenamos y cómo los usamos, qué proveedores utilizamos y cómo estos cumplen con la ley
¡Esto es todo por nuestra parte sobre este asunto! Esperamos que este artículo te haya sido de ayuda pero, por favor, no olvides revisar los recursos que aparecen listados más abajo. Nuestros consejos se basan en nuestro propio conocimiento, no es -en ningún caso- información legal certificada. ¡Suerte!
Recursos
Guías generales de Agencia Española de Protección de Datos
EUGDPR.org (en inglés)
Texto legal completo del GDPR, del Official Journal of the European Union (en inglés)
Ayuda técnica de Stripe (en inglés)
Nota: En Quaderno nos encanta ofrecer información útil y buenas prácticas sobre impuestos y finanzas, pero no somos asesores fiscales certificados. Si tienes cualquier duda o pregunta, consulta con un asesor fiscal profesional o la propia Agencia Tributaria.