El RGPD lleva en vigor desde el 25 de mayo de 2018 y aplica a cualquier empresa o autónomo que trate datos de carácter personal. Aun así, muchas pymes siguen sin cumplir aspectos básicos que la AEPD revisa en sus inspecciones. Estas son las claves que no puede pasar por alto.
1. Registro de actividades de tratamiento
Debe documentar qué datos trata, con qué finalidad, durante cuánto tiempo y con qué base legal. Es el punto de partida de cualquier auditoría.
2. Bases de legitimación
Cada tratamiento necesita una base jurídica: consentimiento, ejecución de un contrato, obligación legal o interés legítimo. No todo vale el consentimiento genérico.
3. Información y consentimiento
Los formularios deben informar de forma clara de quién es el responsable, para qué se usan los datos y cómo ejercer los derechos. El consentimiento ha de ser libre, específico e inequívoco.
4. Derechos de los interesados
Acceso, rectificación, supresión, oposición, portabilidad y limitación. Debe tener un procedimiento para atenderlos en plazo.
5. Seguridad y brechas
Medidas técnicas y organizativas acordes al riesgo, y un protocolo para notificar brechas a la AEPD en 72 horas.
6. Encargados del tratamiento
Contratos con proveedores que acceden a sus datos (gestoría, hosting, CRM…) que garanticen el mismo nivel de protección.
7. Evaluación de impacto
Obligatoria cuando el tratamiento entraña un alto riesgo para los derechos de las personas.
¿Le abruma? Para eso existe nuestro servicio marca blanca: nos encargamos de toda la documentación y el seguimiento, y usted factura a su cliente con su propia marca.
