Cómo cumple Quaderno con el RGPD

Cómo cumple Quaderno con el RGPD

Has oído hablar del RGPD, sabes que es importante, pero ¿cuánto sabes -de verdad- acerca del Reglamento General de Protección de Datos europeo?

En este artículo te explicaremos los aspectos más importantes del RGPD:

  • Cómo define el RGPD los ‘datos personales’
  • Los fundamentos legales para que tu negocio pueda recoger datos personales
  • Los derechos que los clientes tienen sobre lo que haces con sus datos

Cómo asegurarte de que tus políticas, contratos y procesos cumplen con la ley, para evitar cuantiosas multas.

Es más, vamos a guiarte por lo que hemos hecho en Quaderno para alinear nuestro equipo y producto en el cumplimiento del RGPD (para evitar cuantiosas multas).

¿Qué es el RGPD?

El RGPD (GDPR en inglés) es “el cambio más importante en cuanto a regulación de datos privados se refiere, de los últimos 20 años”, según la web de la GDPR. El anterior marco legal sobre Directiva de Protección de Datos se creó en 1995.

1995.

¿Cuál era nuestro concepto de ‘protección de datos’ en aquella época -antes de la era de múltiples dispositivos personales, compras a través de un clic y almacenar todo en la nube-? Está claro que las leyes de protección de datos necesitaban una actualización urgente y la comisión europea así lo ha hecho.

El RGPD está llena de estándares, altos y específicos, acerca de cómo una empresa debe tratar los datos personales de sus clientes. Esto incluye reglamentación sobre cómo recoges, procesas, almacenas y eliminas los datos de tus usuarios.

Los mayores cambios con respecto a la normativa anterior son:

  • Un aumento de las auditorías internas y de la documentación sobre cómo tu negocio utiliza los datos
  • Grandes exigencias de transparencia con los clientes
  • Limitaciones estrictas sobre lo que puedes hacer con los datos personales
  • Más derechos para los consumidores
  • Penas más duras por incumplimiento

En resumen, el RGPD es más específico, más estricto y más serio. De hecho, las multas por incumplimiento son de hasta 20 millones de euros o el 4% de la facturación anual, lo que sea mayor. Definitivamente, no es algo para tomárselo a broma.

Ah, y afecta a todas las compañías que interactúen con consumidores -y sus datos personales- de la UE. Sí, incluso si tu empresa está en otro continente.

Qué se considera ‘datos personales’

El RGPD amplía la definición de “datos personales”, más allá de los elementos típicos como el nombre, la dirección y el número de la seguridad social. Según el RGPD, los datos personales incluyen información que puede identificar directa –o indirectamente- a un individuo.

¿Cómo se puede identificar indirectamente a alguien? Bueno, a través de su actividad en Internet, por ejemplo. Datos web como la localización, cookies, etiquetas RFID y direcciones IP, son considerados datos personales del usuario.

Además, el RGPD garantiza una protección especial a algunos datos ‘sensibles’:

  • raza o etnia
  • opiniones políticas
  • creencias religiosas o filosóficas
  • afiliación sindical
  • tratamiento de datos genéticos
  • datos biométricos únicamente para la identificación como persona física
  • salud
  • vida sexual u orientación sexual

Así que, sí, casi cualquier información que recopiles sobre tus usuarios puede ser considerada ‘datos personales’ y se espera que los protejas todos por igual.

Pero, antes de que puedas procesar ninguno de esos datos de clientes, debes justificar por qué los recabas, en base a alguna de estas seis bases legales.

Los seis fundamentos legales para recabar o procesar datos personales

Para cada actividad que implique procesamiento de datos, tu empresa debe determinar y asignar una base legal. Básicamente, explicar tu ‘derecho’ a procesar estos datos y que has tomado las medidas necesarias para cumplir con el RGPD.

En términos generales, estas seis bases legales son:

  1. El interesado ha dado su consentimiento para que se procesen sus datos personales para uno o más propósitos específicos.
  2. El procesamiento de esos datos es necesario para la ejecución de un contrato del que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato.
  3. El procesamiento es necesario para el cumplimiento de las obligaciones legales de las que el procesador es sujeto.
  4. El procesamiento es necesario para proteger un interés vital del interesado.
  5. El procesamiento es necesario para la ejecución de una tarea llevada a cabo en interés público o en el ejercicio de una autoridad oficial.
  6. El procesamiento es necesario por el legítimo interés perseguido por la entidad, salvo que este interés supedite el interés o los derechos fundamentales y la libertad del interesado que requiere la protección de datos.

De nuevo, esto es solo un resumen. Algunas de estos fundamentos incorporan pautas específicas, como determinados requerimientos en el consentimiento del usuario (núm. 1) o completar una evaluación del interés legítimo (núm. 6).

Determinar qué fundamento legal se usa para cada tipo de procesamiento de datos implicará una evaluación interna por parte de tu empresa: analizar cómo se adquieren los datos exactamente, dónde se almacenan, a dónde van, quién tiene acceso a ellos y, finalmente, asegurarse de que no hay ninguna forma mejor de gestionar el proceso.

Incluso, estando este fundamento legal argumentado, los usuarios pueden denegarte el acceso a sus datos en cualquier momento. Bajo el RGPD, los individuos mantienen la propiedad de sus datos y pueden ejercer derechos que afecten a tu negocio.

Derechos de los consumidores sobre sus datos personales

Además de extender la definición de los datos que deben de ser protegidos, el RGPD amplía los derechos garantizados a los individuos. Este es un listado de dichos derechos y algunas otras consideraciones que las empresas deben tener en cuenta.

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de oposición
  • Derecho de supresión (“al olvido”)
  • Derecho a la limitación del tratamiento
  • Derecho a la portabilidad
  • Derecho a no ser objeto de decisiones individualizadas
  • Derecho de información

Como empresa estás obligado a informar a tus clientes de estos derechos. Para ello puedes listarlos en tu página de política de privacidad y condiciones de uso.

En el caso de que un usuario realice una petición o queja, tienes 30 días para cumplir con ella. Un buen sistema de procesamiento de base de datos será de gran ayuda a la hora de asegurarte de que cumples con los plazos.

Para obtener una definición más extensa y detallada de estos derechos, puedes consultar el texto legal completo del RGPD.

Cómo cumplir con el RGPD

Según lo comentado hasta ahora, cumplir con el RGPD implica un montón de trabajo de evaluación interna; entender y clarificar nuestras propios protocolos de negocio y ajustar la documentación y el procesamiento de datos a la normativa.

Llevar a cabo una evaluación interna

Un consejo común es que lleves a cabo una auditoría de los ‘datos personales’ de tu negocio. ¿Qué tipo de datos manejas ya? ¿Cómo los conseguiste y cómo los estás usando? Puede que descubras que ya cumples con la nueva normativa.

Desarrolla y documenta lo siguiente:

  • Detalles de la empresa y del delegado de protección de datos (lo explicamos más abajo)
  • Categorización de las personas, sus datos personales y los destinatarios de los mismos
  • Propósito del procesamiento de datos junto con información precisa sobre sus fundamentaciones legales
  • La planificación de la retención de los datos y su justificación
  • Pruebas de las evaluaciones para los fundamentos legales
  • Detalles de terceros que entren en contacto con los datos, incluyendo oficinas en el extranjero
  • Registro de las medidas de seguridad llevadas a cabo por tu empresa, tanto a nivel tecnológico como organizativo
  • El procedimiento para identificar brechas de seguridad y cómo se notificarán a las partes implicadas, en un plazo máximo de 72 horas
  • Un política de privacidad escrita en lenguaje claro, pública y disponible, detallando todos los procesos de cómo los datos son recogidos, procesados y el porqué*
  • Actualizar contratos con terceros para asegurarte de que cumplen con el RGPD

* El RGPD es muy claro en lo que se refiere a que la política de privacidad debe ser… ¡Muy clara! Esto significa: nada de jerga legal o técnica; debe explicar exactamente qué pasa con los datos personales.

Toda la documentación debe estar por escrito y debes implementar procesos de revisión para asegurarte de que se mantiene acorde con la ley, especialmente si tu negocio crece o el propio RGPD evoluciona. Lo que nos lleva el siguiente punto…

Asigna un Delegado de Protección de Datos si fuera necesario

Cualquier empresa con más de 250 empleados debe nombrar a un delegado de protección de datos para garantizar que la empresa recaba y guarda los datos de forma responsable. Algunas compañías puede que contraten a personal específico para esta tarea mientras que otras delegarán el título -y sus obligaciones- en empleados ya existentes.  

Revisa cómo tus usuarios dan su consentimiento o exclusión voluntaria

Una de las novedades más importantes del RGPD es que debes obtener un consentimiento activo e inequívoco por parte del usuario. Nada de casillas preseleccionadas o vagas promesas de no mandar correo basura.

Debes asegurarte de que hay una opción para que los usuarios se den de baja de las comunicaciones comerciales en todo momento.  

Cómo cumple Quaderno con el RGPD

Uno de los pilares del RGPD es el principio de responsabilidad, que establece que el encargado del tratamiento de los datos (p.e. la empresa) debe ser capaz de demostrar cómo cumple con la ley. ¡Considera este artículo como parte de nuestro cumplimiento!

La verdad es que ya cumplíamos casi totalmente con el RGPD antes de que se anunciara; la Ley de Protección de Datos española (LOPD) era ya muy estricta. El principal ajuste de Quaderno ha sido ser aún más transparentes en nuestros protocolos y asegurarnos de que todos nuestros proveedores cumplían también con el RGPD.  

El mayor cambio ha afectado al marketing. Durante años recabamos contactos sin el consentimiento explícito al que el RGPD obliga ahora. Así que hemos ido un poco hacia atrás en el tiempo y hemos pedido a todos nuestros usuarios y suscriptores que nos dieran su ‘re’ confirmación para recibir contenido relacionado con Quaderno. De ahora en adelante pedimos a todos nuestros usuarios que nos den su consentimiento en todos los formularios que tenemos como soporte, solicitar demo, newsletter o crear cuenta nueva. 

Esta es una lista rápida de los cambios que hemos implantado para asegurarnos de que cumplimos con el RGPD:

  • Pedir la renovación de la confirmación a los suscriptores actuales sobre si quieren seguir recibiendo nuestros emails
  • Crear nuevos formularios para clientes y suscriptores que incluyen casillas de verificación para las políticas de seguridad y las condiciones de servicio
  • No usar o guardar ningún dato sin consentimiento explícito. Solo usamos los datos para asuntos estrictamente relacionados con el uso de la herramienta
  • Añadir casillas de consentimiento en la aplicación para recibir notificaciones
  • Clarificar aún más nuestra política de privacidad. Todo lo que hace Quaderno con los datos está aquí: qué información recogemos, dónde y por qué se guarda, las cookies que usamos, servidores, etc.
  • Actualizar nuestras condiciones de uso para incluir detalles del procesamiento de datos
  • Actualizar nuestro contrato de tratamiento de datos con información sobre qué datos almacenamos y cómo los usamos, qué proveedores utilizamos y cómo estos cumplen con la ley

¡Esto es todo por nuestra parte sobre este asunto! Esperamos que este artículo te haya sido de ayuda pero, por favor, no olvides revisar los recursos que aparecen listados más abajo. Nuestros consejos se basan en nuestro propio conocimiento, no es -en ningún caso- información legal certificada. ¡Suerte! 

Recursos

Guías generales de Agencia Española de Protección de Datos

Texto legal completo del RGPD

EUGDPR.org (en inglés)

Texto legal completo del GDPR, del Official Journal of the European Union (en inglés)

Ayuda técnica de Stripe (en inglés)

 

* En Quaderno nos encanta ofrecerte información sobre impuestos y contabilidad pero, ¡ojo, no somos asesores fiscales! Si necesitas más información o tienes dudas, te recomendamos que consultes con expertos en la materia.

Ilustración sobre facturación automática

¿Estresado con la facturación y los impuestos? Imagina tener todos los datos para tus declaraciones de impuestos con un solo clic. Con Quaderno podrás calcular impuestos y enviar facturas automáticamente. Sin esfuerzo. ¿Quieres saber cómo? →