¿Qué es y cómo afecta el RGPD?

Desde el 25 de mayo de 2018, cualquier empresa comunitaria o de fuera, si comercializa sus productos o servicios en algún país de la Unión Europea debe estar adaptada al nuevo Reglamento General de Protección de Datos (RGPD).

Descarga folleto

Qué es el RGPD

Pero… ¿Qué es el Reglamento General de Protección de Datos?

El nuevo reglamento general de protección de datos entró en vigor en mayo de 2016 y es de aplicación obligatoria para todas las empresas de la Unión Europea, desde el 25 de mayo de 2018. Otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo digital. El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y a cómo quieren recibir información de las empresas.

¿Qué deben tener en cuenta las empresas ante el RGPD?

Más allá de las sanciones que puede acarrear la falta de cumplimiento del RGPD, todavía hay muchas pymes que están haciendo poco o nada ante esta nueva exigencia comunitaria. En esencia el nuevo reglamento de protección de datos endurece el control sobre los datos personales y otorga a cada individuo el derecho a que sean utilizados o no por cualquier entidad, pública o privada, así como la manera en la que se accede a ellos y retirar el acceso.

Sin embargo, muchas otras empresas están buscando ayuda para hacer del RGPD un aspecto diferencial y un valor añadido. Su nueva estrategia pasa por considerar que no hay mejor valor comercial que conocer en profundidad los datos que les suministran sus clientes presentes y futuros.

Ante el nuevo marco legal derivado del reglamento europeo de protección de datos, las empresas deben tener en cuenta los siguientes aspectos:

¿Qué es un dato personal?

Es toda información sobre una persona física identificada o identificable, ya sea un nombre, un DNI, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Implicando diferencias respecto la antigua Ley Orgánica de Protección de Datos (LOPD).

Mayor transparencia

Más transparencia con las personas a cuya información se accede. A partir de ahora, con el nuevo reglamento europeo de protección de datos, las empresas deben explicar a los usuarios de quien recojan sus datos para qué los están recopilando y demostrar que esos datos sólo están siendo empleados para los fines recabados.

Adiós al consentimiento tácito

Los usuarios, por su parte, tendrán la capacidad de retirar su consentimiento y eliminar la información de los servidores de la empresa. Se terminó el consentimiento tácito. El nuevo reglamento general de protección de datos obliga a muchos más controles para garantizar que, quien cede sus datos, lo hace con pleno conocimiento. A partir de ahora las empresas deben revisar y rehacer el conjunto de contratos y cláusulas.

Las empresas son responsables de su seguridad

Es cada empresa la que determina cuáles son los niveles de riesgo en los que incurre y las medidas que, en su opinión, debe adoptar para garantizar que la información de cualquier persona está correctamente custodiada y es utilizada de forma correcta. Se terminó la homogeneidad en la seguridad de los datos. Nadie debería preguntase: ¿Qué es el RGPD? Todos somos responsables.

Proactividad en la comunicación de brechas de seguridad

Actuar de forma proactiva en la comunicación de fallos. Ante una filtración de Datos, el responsable de tratamiento debe notificar los fallos de seguridad a la Agencia Española de Protección de Datos, en un plazo de 72 horas. Este experto tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, en caso de existir algún riesgo para sus derechos.

Nueva figura del DPO

El RGPD propicia la creación de la nueva figura del Data Protection Officer (DPO) o delegado de protección de datos. Una figura esencial en el nuevo reglamento europeo y cuya misión es identificar todos los posibles riesgos y buscar sus soluciones. Su presencia es obligatoria para todas las administraciones públicas y en aquellas organizaciones con tratamiento de datos a gran escala. Puede ser interno o externo a la compañía.

Nuevos requerimientos para datos de menores

El nuevo reglamento general de protección de datos considera que el consentimiento parental será requerido para procesar datos de menores de 16 años en servicios online. Los Estados miembros pueden legislar con el fin de rebajar la edad de consentimiento, aunque en ningún país podrá situarse el requerimiento del consentimiento paternal por debajo de los 13 años.

Nuevas certificaciones

El reglamento de protección de datos personales concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas.

Privacy by design & by default

Medidas Tecnológicas para la Privacidad desde el diseño y por defecto. El nuevo reglamento general de protección de datos establece que todo proyecto, ya sea comercial, de creación de una página web, de desarrollo de entorno tecnológico, etc. debe evaluar desde el inicio de su diseño y por defecto — Privacy by design & by default— los riesgos que pueden comportar para la privacidad de los datos personales que incorporará. Además, debe verificar que se han puesto en marcha las medidas necesarias para eliminarlos o mitigarlos y, por último, que en todo momento los tratamientos de datos se ajusten a la normativa de protección de datos en vigor.

Adaptación del RGPD a cada empresa

Debido a todos los cambios respecto a la Ley Orgánica de Protección de Datos (LOPD), la AEPD ha preparado unas guías con instrucciones donde se fijan conceptos, metodología, ejemplos y modelos a seguir, recomendaciones e incluso listados de posibles riesgos de incumplimiento del RGPD y seguridad. No son guías estándar, sino que deben adaptarse a cada empresa con la ayuda de un profesional externo.

Ekon RGPD.
Los datos personales de tu ERP, bajo control

Es obligatorio para todas las empresas, independientemente de su tamaño o sector y están previstas multas millonarias por su incumplimiento.

Con el fin de simplificar a nuestros clientes el cumplimiento del nuevo reglamento, hemos desarrollado el módulo Ekon RGPD, diseñado por expertos, y que ofrece herramientas muy útiles para que los datos personales que gestionas en Ekon cumplan con la nueva regulación y que facilita el trabajo del Data Protection Officer (DPO).

Te contamos cómo tu ERP te ayuda a cumplir con el reglamento general de protección de datos

Desde mayo de 2018 todas las empresas están obligadas a cumplir con el reglamento de la Unión Europea de protección de datos, exponiéndose a importantes sanciones económicas aquellas que no lo hagan. A continuación te explicamos en qué consiste el rgpd y cómo tu ERP te puede ayudar a cumplirlo.

El Reglamento General de Protección de Datos entró en vigor en mayo de 2018 como la mayor revolución de la historia en cuanto al almacenamiento de datos de carácter personal. El reglamento de la unión europea de protección de datos está diseñado para otorgar mayor seguridad y control a las personas sobre su información personal, así como para establecer unas reglas comunes en toda la UE de protección de dicha información. Su función es proteger a las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos.

Cualquier empresa que quiera cumplir satisfactoriamente con el Reglamento General de Protección de Datos debe:

Contar con un consentimiento inequívoco o expreso sobre el tratamiento de los datos de carácter personal.
Actuar desde la responsabilidad proactiva, analizando el riesgo y evaluando el impacto en dicho tratamiento.
Rendir cuentas notificando brechas de seguridad y creando un registro de actividades de tratamiento.
Crear una figura responsable quien si corresponde planificará la aplicación de la seguridad y actuará como enlace entre la empresa y la autoridad de control.

No hay empresa ajena al cumplimiento, aunque sí es cierto que dependiendo del nivel de riesgo de los datos que se traten deberán implicarse en mayor o menor medida. De este modo empresas, sociedades, comunidades, asociaciones y autónomos que deben cumplir con el rgpd en la Unión Europea son aquellos que:

Están establecidos en la Unión Europea independientemente de si el tratamiento se hace o no dentro de la Europa de los 27.
Los que ofrecen bienes o servicios a personas que se encuentren en la Unión Europea.
Los que monitorizan el comportamiento de las personas que se encuentren en la Unión Europea.

Por lo tanto cualquier empresa u organización que va a realizar una actividad comercial o social dentro de la Unión Europea, que deba tratar algún dato personal de la Unión Europea o bien sobre datos de personas que se encuentren dentro de la Unión, debe cumplir inexorablemente con el reglamento general de protección de datos en la UE.

Cualquier ciudadano de la UE tiene derecho a presentar reclamaciones si considera que el tratamiento de sus datos personales vulnera el reglamento de protección de datos, y puede hacerlo de forma individual o colectiva. Por otro lado, al ser la privacidad un derecho fundamental dicho ciudadano tiene el derecho tanto a una tutela judicial efectiva y a la indemnización por los daños y perjuicios sufridos a consecuencia de una infracción del rgpd.

Las autoridades podrán investigar y corregir las infracciones. Para ello estarán en disposición de ordenar al responsable que le faciliten información, auditorías o acceso a los datos, locales y equipos.

Las sanciones por infracción podrán ir desde advertencias, apercibimientos y limitaciones temporales, hasta prohibir el tratamiento, ordenar supresión de datos e imponer multas. En lo que a las multas se refiere, no cumplir correctamente con el rgpd para empresas conlleva sanciones de hasta un 4% del volumen de facturación anual global o multas de 20 millones de euros, siempre en función de la infracción.

Los datos personales están relacionados con una persona identificada o identificable. Según el reglamento de protección de datos personales, un dato personal es un identificador online como direcciones IP, nombre de usuario, correo electrónico, las cookies en las páginas web, etiquetas RFID, datos de localización, etc.

En general son datos personales que nuestros clientes nos dan, por ejemplo, al cumplimentar los pedidos o durante el curso de nuestros servicios: su nombre y apellidos, direcciones, datos de facturación, datos de solvencia económica, DNI, datos biométricos o de salud, edad, estado civil, números de teléfono, correo electrónico, localización, etc.

Dentro de lo que es rgpd, también son datos personales los análogos de nuestros empleados incluidos los datos profesionales o de formación y los de nuestros contactos en proveedores. Protegerlos, evitando fugas y brechas de datos es un deber y una necesidad. Las pérdidas económicas y de imagen para la empresa pueden ser cuantiosas, además de enfrentarnos a sanciones por incumplimiento legal.

En el Reglamento General de Protección de Datos se definen unas categorías especiales de datos denominados datos sensibles, que exigen una protección reforzada y que, por lo tanto, están sujetos a un régimen jurídico especial. Se denominan así porque son datos especialmente protegidos rgpd que, debido a su incidencia especial en la intimidad, las libertades públicas y los derechos fundamentales de la persona, requieren una mayor protección respecto al resto de datos personales.

Por lo tanto, la diferencia entre datos personales y datos personales sensibles radica en el impacto que la publicidad de los sensibles puede tener sobre la vida de las personas, incluso conllevando a la discriminación si se conoce alguno de esos en determinadas circunstancias.

Todos debemos ser cuidadosos con los datos personales, y de cualquier tipo, con los que trabajamos en nuestras empresas. Sin embargo, la llegada del reglamento general de protección de datos nos ha dejado tres figuras encargadas de esta función: el Responsable, el Encargado y el Delegado de Protección de Datos:

El Responsable es el que determina por qué hace falta el tratamiento y para qué, el quien realiza el análisis de riesgos del tratamiento y también el responsable último del mismo. Toda empresa debe tener uno o varios. También es quien debe elegir a los encargados.
Los Encargados pueden ser el soporte tecnológico o jurídico, interno o externo, que contratamos para cumplir con el reglamento. Ellos son los profesionales que ofrecen garantías suficientes para aplicar medidas técnicas y organizativas de manera que el tratamiento se realice conforme a los requisitos del reglamento.
El Delegado de Protección de Datos es una figura que sólo es obligatoria si la empresa realiza operaciones de tratamiento de datos personales rgpd que requieran una observación habitual y sistemática de personas a gran escala o tratamiento a gran escala de datos de categorías especiales.

En un ERP puede haber miles y miles de campos personales. Por lo tanto, tu software de gestión empresarial debe incluir un indicativo en todos los campos de la base de datos que contengan datos personales de cualquier tipo y también herramientas para el análisis de esta información. Tu solución de gestión empresarial también debe incluir herramientas para cumplir con los principios de responsabilidad proactiva y de enfoque de riesgo.

Esto se obtiene auditando y verificando toda la configuración de seguridad de los datos personales, corrigiendo todas las posibles debilidades, riesgos y amenazas encontradas, garantizando mediante el cifrado la confidencialidad y la integridad dentro de lo que es la rgpd. Además, las organizaciones, a través de su ERP deben integrar la protección de datos a cada nivel de su negocio e incorporarla a sus procesos, durante todo el ciclo de vida de cualquier actividad comercial, recomendando el cifrado de datos como una medida técnica adecuada. Esto se consigue evitando accesos no autorizados y restringiendo accesos a dichos datos.

Por último, tu programa de gestión empresarial dentro de sus funciones de rgpd de empresas debe generar informes de actividad 360º que permitan consultar el registro de actividades de datos personales y gestionar la actividad realizada, como por ejemplo todos los cambios aplicados en los datos de un empleado, contacto, paciente, etc.

Sanciones a parte, ninguna empresa que quiera ser competitiva puede ya quedar fuera del cumplimento del reglamento del rgpd y tener brechas en aquellos aspectos vinculados a la seguridad de la información de su organización, especialmente en sus políticas de privacidad.

La ciberseguridad en general, y la protección de datos personales en particular, adquieren cada día más importancia para la mejora de la competitividad en un mundo de los negocios arrastrado por las ventajas que nos ha traído la transformación digital en forma de conectividad, cloud computing, inmediatez, movilidad y ubicuidad. Es un reto importante para muchas pymes, por ello siempre es recomendable el acompañamiento de un partner tecnológico fiable que le dote de las herramientas necesarias.

¡Pruébanos! Nos encanta mostrar cómo funciona

Un asesor especializado contactará contigo en 24/48h, para conocer tus necesidades y poder agendar una demo.

Nuestras demos no son estándar. Te mostramos cómo se adaptan nuestras soluciones a tus necesidades reales.

Cookie	Tipo	Duración	Descripción
__cfduid		1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc		session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checbox-analytics	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	0	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement		1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent		1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
embed/v3/counters.gif		session	Recoge información de las preferencias y/o interacción del usuario con contenido de campañas web – Esto se usa en la plataforma de campaña CRM, utilizada para propietarios de webs para promover eventos o productos.
viewed_cookie_policy	0	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
__cf_bm	30 minutes	Esta cookie la establece el proveedor de CDN de HubSpot y es una cookie necesaria para la protección de los bots. Expira en 30 minutos. Más información sobre cookies de Cloudflare.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
__lc_cid	2 years	This is an essential cookie for the website live chat box to function properly.
__lc_cst	2 years	This cookie is used for the website live chat box to function properly.
__oauth_redirect_detector	past	This cookie is used to recognize the visitors using live chat at different times inorder to optimize the chat-box functionality.
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Duración	Descripción
_ym_visorc	30 minutes	Yandex sets this cookie to allow the site's Session Replay to function correctly.
ymex	1 year	Yandex sets this cookie to collect information about the user behaviour on the website. This information is used for website analysis and for website optimisation.
yuidss	1 year	Yandex stores this cookie in the user's browser in order to recognize the visitor.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_10363698_6	1 minute	Set by Google to distinguish users.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_ym_d	1 year	Yandex sets this cookie to store the date of the users first site session.
_ym_isad	20 hours	Yandex sets this cookie to determine if a visitor has ad blockers.
_ym_uid	1 year	Yandex sets this cookie to identify site users.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	1 year 24 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.
vuid	2 years	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.
yabs-sid	session	Yandex sets this cookie to store the session ID.
yandexuid	1 year	Yandex sets this cookie to identify site users.

Cookie	Duración	Descripción
i	10 years	This cookie is set by OpenX to record anonymized user data, such as IP address, geographical location, websites visited, ads clicked by the user etc., for relevant advertising.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
___nrbi	6 months	No description
___nrbic	session	No description
556_s	session	No description
556_u	5 months 27 days	No description
AnalyticsSyncHistory	1 month	No description
compass_uid	6 months	No description
li_gc	2 years	No description
metrika_enabled	session	This cookie is used for running Yandex.