Hoy 28 de enero se celebra el Día de la Protección de Datos creado por el Consejo de Europa que conmemora la fecha de la apertura a la firma del Convenio 108, convenio de referencia en esta materia. La finalidad de este día es concienciar a la población sobre los retos que plantea la protección de datos, e informar a todos sobre sus derechos y cómo ejercerlos. La legislación que regula esta protección es el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (LOPDGDD).
Las empresas tienen la responsabilidad y el deber de asegurar la protección de datos de sus clientes y empleados. Aquellas que no cumplan con la legislación pueden ser denunciadas ante la AEPD (Agencia Española de Protección de Datos), por esto, queremos proponer una serie de consejos sobre qué pueden hacer las empresas para asegurar los datos que recopilan.
1. Informar a los clientes y conseguir su consentimiento.
Los clientes deben conocer qué datos suyos son recopilados, así como dar su consentimiento expreso. Tienen el derecho de conocer cómo van a ser utilizados sus datos, quién es el responsable de su tratamiento y un modo de contacto en el caso de que quieran pedir una copia, rectificación o eliminación.
2. Transparencia en la información.
Las empresas deben proporcionar información clara y transparente a los usuarios sobre cómo se recopilan, utilizan y almacenan sus datos personales. Esto generalmente se realiza a través de políticas de privacidad y avisos de privacidad.
3. Asegurar el buen almacenamiento de la información.
Tanto si es en formato físico como digital, la empresa tiene la responsabilidad de tomar medidas para proteger el acceso a los datos. En soportes físicos se deberá impedir la entrada de personas no autorizadas; mientras que en formatos digitales será necesario utilizar sistemas de contraseña.
Es importante mantener actualizados los sistemas para evitar virus y vulnerabilidades. Asimismo, es necesario realizar análisis de posibles riesgos de forma periódica y adoptar medidas frente a los resultados.
4. Informar sobre los incidentes.
En el caso de que haya una brecha en la seguridad, es tarea de la empresa informar a los posibles damnificados que su información ha podido verse expuestas. Así como de exponer las medidas que se están llevando a cabo al respecto. Asimismo, las empresas están obligadas a notificar a la Agencia Española de Protección de Datos y a los afectados cualquier violación de la seguridad que pueda suponer un riesgo para sus derechos y libertades.
5. Realizar una evaluación frente a datos especialmente vulnerables.
En relación con los datos cuya vulneración pueda suponer un alto daño a los clientes, es necesario realizar una Evaluación de Impacto en la Protección de Datos (EIPD). Esta se dará en los casos en los que el tratamiento de datos pueda entrañar un alto riesgo para los derechos y libertades de las personas.