Protección de datos

Mejores normas para las pequeñas empresas

Las normas más estrictas en materia de protección de datos a partir del 25 de mayo de 2018 implican que los ciudadanos tienen más control sobre sus datos y que las empresas se benefician de igualdad de condiciones. Una única normativa para todas las empresas que operan en la Unión Europea (UE), independientemente de donde tengan su sede.
Descubra lo que esto significa para su pyme.

¿Qué son los datos personales?

  • Nombre
  • Dirección
  • Localización
  • Identificador en línea
  • Información sanitaria
  • Ingresos
  • Perfil cultural
  • y más
¿Recopila
Almacena
Utiliza
Datos?
Debe respetar las normas.

¿Se dedica al tratamiento de datos para otras empresas?
También es para usted.

¿Por qué cambiar la normativa?

Se trata de confianza...

La falta de confianza en la antigua normativa sobre protección de datos limita el crecimiento de la economía digital y puede que incluso el de su empresa.

Solo el15 %

de los ciudadanos creen que tienen un control absoluto sobre la información que facilitan por internet.

Y de ayudar a las empresas a prosperar...

Una normativa para todas las empresas que tratan datos en la UE

Hacer negocios es ahora más fácil y más justo

El nuevo sistema mantiene los costes bajos y ayudará a las empresas a crecer

130 millones EUR

es el coste que tiene para las empresas de la UE informar a veintiocho autoridades de protección de datos distintas de acuerdo con el sistema antiguo.

2 300 millones EUR

de beneficios económicos estimados por tener una única normativa.

Las nuevas normas deberían fomentar la confianza de los consumidores y, a su vez, fomentar los negocios.

¿Qué debe hacer su empresa?

Proteger los derechos de las personas que le facilitan sus datos

Comunicación

Use un lenguaje sencillo.
Dígales quién es cuando solicite datos.
Diga por qué tratará sus datos, durante cuánto tiempo los guardará y quién los recibe.

Consentimiento

El consentimiento es una de las bases jurídicas para el tratamiento de datos (junto con el contrato, el interés legítimo, las obligaciones jurídicas, etc.). Si usted se basa en él, el consentimiento debe darse mediante una acción afirmativa clara.

Acceso y portabilidad

Deje que las personas accedan a sus datos y los den a otras empresas.

Avisos

Informe a las personas de las violaciones de datos si existe un grave riesgo para ellos.

Borre los datos

Respete el «derecho al olvido». Borre los datos personales si se lo piden, pero solo si ello no pone en riesgo la libertad de expresión o la capacidad para investigar.

Perfiles

Si utiliza la elaboración de perfiles para el tratamiento de solicitudes de acuerdos jurídicamente vinculantes como los préstamos, debe:

  • informar a sus clientes,
  • asegurarse de que una persona, y no una máquina, controla el proceso
    si la solicitud se acaba denegando,
  • ofrecer al solicitante el derecho a impugnar la decisión.
Publicidad

Permita que las personas opten a no recibir la publicidad directa que utiliza sus datos.

Protección de datos sensibles

Utilice protección adicional para la información relativa a la salud, la raza, la orientación sexual, la religión o la ideología política.

Datos de menores

¿Recopila datos de menores de dieciséis años?
Según el RGPD debe obtener el consentimiento paterno. Sin embargo, cada Estado miembro de la Unión Europea puede reducir este límite a entre trece y dieciséis años, por tanto, verifique el límite de edad.

Transferencia de datos fuera de la UE

Adopte medidas jurídicas cuando transfiera datos a países que no cuentan con la autorización de las autoridades de la UE.

Integre la protección de datos

Integre garantías de protección de datos en sus productos y servicios desde las primeras fases de su desarrollo.

¿Lleva a cabo el tratamiento de datos para otra empresa?

Asegúrese de que tiene un contrato sin lagunas que enumera las responsabilidades de cada parte.

Verifique si necesita un responsable de protección de datos

No siempre es obligatorio. Depende del tipo y la cantidad de datos que recopile, si su tratamiento es su principal actividad y si lo hace a gran escala.

  • Procesa datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en línea de las personas.
  • Envía publicidad a sus clientes una vez al año para promocionar su negocio de comida local. No
  • Es un médico de familia que recopila datos sobre la salud de sus pacientes. No
  • Realiza el tratamiento de datos genéticos y sanitarios para un hospital.

Lleve registros

Las pymes solo deben llevar un registro si el tratamiento de datos

  • Es regular
  • Supone una amenaza para los derechos y libertades de las personas
  • Guarda relación con datos sensibles o antecedentes penales

Los registros deben contener:

  • El nombre y los datos de contacto de la empresa
  • Los motivos del tratamiento de los datos
  • La descripción de las categorías de interesados y datos personales
  • Las categorías de organizaciones que reciben los datos
  • La transferencia de datos a otro país u organización
  • El plazo límite para eliminar los datos, de ser posible
  • La descripción de las medidas de seguridad utilizadas durante el tratamiento, de ser posible

Anticípese con evaluaciones de impacto

Las evaluaciones de impacto pueden ser obligatorias para el tratamiento de ALTO RIESGO.

  • Nuevas tecnologías

  • Tratamiento automático y sistemático y evaluación de la información personal

  • Seguimiento a gran escala de una zona con acceso público (como los circuitos cerrados de televisión)

  • Tratamiento a gran escala de datos sensibles como la biometría

El coste del incumplimiento

Su autoridad de protección de datos local supervisa el cumplimiento normativo; su trabajo se coordina a escala de la UE.

El coste de incumplir la normativa puede ser elevado.

Advertencia

Amonestación

Suspensión del tratamiento de datos

Multa

de hasta
20
millones EUR

o

el 4 %
del volumen de negocios anual general

¿Necesita ayuda?

Sobre el Reglamento y la protección de datos

Póngase en contacto con su autoridad nacional de protección de datos (APD)

El presente documento no puede considerarse una posición oficial de la Comisión Europea y no sustituye a la legislación.