Asesorías y Despachos Profesionales

RGPD: Lo que los empresarios necesitan saber sobre cómo tratar los datos de sus empleados

Aunque el reglamento europeo es de 2016, ha sido con su entrada en vigor este 2018 cuando las empresas se han puesto a analizar como dar cumplimiento a todas sus exigencias. En este post, analizamos, en concreto, qué es lo que los empresarios necesitan saber sobre cómo tratar los datos de sus trabajadores.

  • De no cumplir con el RGPD, las sanciones económicas pueden alcanzar los 20 millones de euros o el 4% de la facturación anual de la empresa o el trabajador autónomo
  • En relación a posibles sanciones, LaLiga de fútbol profesional puede convertirse en la primera empresa en recibir una multa por incumplimiento del Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos (RGPD) de la UE entró en vigor el 25 de mayo de 2018 y ha traído consigo una serie de cambios significativos en el modo en que las empresas tratan, gestionan y conservan los datos personales.

¿Qué es el RGPD?

El RGPD constituye una considerable actualización de las actuales reglas de protección de datos de la UE, cuyo objetivo es reflejar algunas de las tendencias definitorias de los últimos años, como la globalización o la aceleración del crecimiento de la tecnología digital. El propósito es reforzar y unificar la protección de datos para los ciudadanos miembros de la Unión Europea.

Aparte de a las empresas con sede en la Unión, el Reglamento se aplicará a toda empresa que trabaje con datos personales de ciudadanos de la UE en materia de suministro de bienes y servicios o estudio de comportamientos.

¿Qué implica para el empresario con respecto a los datos de sus empleados?

El RGPD obligará a los empresarios –especialmente a los departamentos de RR.HH.– a adaptarse a una serie de cambios a la hora de tratar y manejar los datos de sus empleados.

Uno de estos cambios es el concepto de “protección de datos por diseño”, que obliga al empresario a considerar los riesgos relativos a la protección de datos como parte fundamental del proceso de diseño y las políticas operativas, los procesos, los productos y los servicios. El RGPD exige igualmente la “protección de datos por defecto”, según la cual solo pueden recopilarse y tratarse los datos personales necesarios para cada finalidad específica.

Otro concepto que ampara el RGPD es el de consentimiento. El mismo surge de la idea del tratamiento de datos personales por parte del empresario basado en el consentimiento del empleado, una idea cuestionada debido al desequilibrio de poder entre uno y otro. Así, una vez en vigor, el RGPD obligará a las organizaciones a cumplir con requisitos más estrictos que demuestren que tal consentimiento se ha “otorgado de manera libre, fundada, específica y explícita”.

En lo que respecta a la provisión de información para miembros del personal y solicitantes de puestos de trabajo, el nuevo reglamento exigirá al empresario muchos más detalles. En concreto, a partir del 25 de mayo de 2018, cualquier organización deberá facilitar:

  • La identidad y los datos de contacto del empresario (el responsable del tratamiento de datos).
  • Datos de contacto del responsable de protección de datos, si la empresa dispone del mismo.
  • Los destinatarios de los datos.
  • El periodo de tiempo durante el que se conservarán los datos.
  • Los derechos de cada empleado o solicitante, incluyendo los derechos de acceso, rectificación y solicitud de eliminación de los datos.

Otro de los elementos clave del RGPD estipula que las empresas deben notificar cualquier caso de violación de datos en el plazo de 72 horas a partir del momento de su conocimiento.

Con respecto al cumplimiento, se aplicarán sanciones mucho más estrictas a las empresas u organismos que no respeten las nuevas normas, pudiendo ser multadas hasta con 20 millones de euros o el importe equivalente al 4 % de la facturación total anual global, si es superior a la primera cantidad. Por tanto, más vale estar preparado para el cumplimiento del nuevo reglamento.

Las grandes empresas tampoco están exentas de cumplir con la normativa y poder sufrir sanciones. Un ejemplo es LaLiga de fútbol profesional, que podría convertirse en la primera empresa multada por incumplir el RGPD. La aplicación móvil de la asociación de clubes activa el micrófono del teléfono móvil y la localización de sus usuarios para detectar si se emite fútbol pirateado en los bares. Y, según fuentes jurídicas, el procedimiento establecido por LaLiga para solicitar el permiso de acceso al micrófono se ajusta a lo que establece la regulación europea, pero no cumpliría con otro de los principios que marca el texto legal del reglamento: el denominado como principio de minimización de los datos.

Hora de prepararse

Un reciente informe de la firma de ciberseguridad Kaspersky Lab ha revelado que solo la mitad (50 %) de las empresas se sienten preparadas para el RGPD. La empresa ha reconocido como “enormemente preocupante” que la mitad de los negocios encuestados no se consideren preparados para el cambio normativo, teniendo en cuenta “la gran importancia que tiene”.

Con ocasión de una mesa redonda organizada por Kaspersky Lab, Sue Daley, responsable de servicios en la nube, datos, análisis e inteligencia artificial de TechUK, comentó que las empresas que ofrecen formación al respecto deben buscar formas auténticas de “llevarlas a la práctica” para su personal, y añadió: “El primer paso es hablar de ello y hacer que la gente entienda de lo que se trata”.

En el mismo evento, Caroline Hilton, directora de RR.HH. de la productora de radio Somethin’ Else, comentó que las empresas deben ver el cumplimiento del RGPD no como una práctica que se limita a “marcar casillas”, sino como algo específico y relevante para determinados puestos y departamentos.

El director ejecutivo de BCC, David Riches, por su parte, habló de la necesidad de que las empresas sean “proactivas” a la hora del cumplimiento del RGPD, para evitar penalizaciones económicas y el escrutinio público. Asimismo, tranquilizó a las empresas que ya cumplen con sus obligaciones en materia de protección de datos, asegurándoles que “la nueva legislación no supondrá para ellas una excesiva presión”.

 Algunos consejos para adaptarse al RGDP

Distintas organizaciones, como por ejemplo a AEPD en España, han señalado algunos de los pasos fundamentales que deben dar las empresas a partir de ahora, que incluyen:

  • Documentar los datos personales que la empresa posee, de dónde provienen y con quién los comparte.
  • Revisar los actuales avisos de privacidad y planificar los cambios necesarios antes del plazo de implementación.
  • Revisar los procedimientos que garantizan los derechos individuales estipulados en el RGPD, como la eliminación de datos personales y el suministro electrónico de datos.
  • Determinar si la organización necesita un responsable de protección de datos

¿Aún no cumples con la normativa RGPD?

Las Soluciones RGPD Ready de Sage incluyen funcionalidades avanzadas para que tu negocio evite posibles sanciones y no cometa errores en la gestión de los datos personales.

Más información
sage