Guía para la fácil implementación del RGPD en empresas y Call Centers

Introducción al RGPD

El marco legal de la protección de datos está a punto de experimentar una importante transformación en el ámbito europeo, con la aplicación del nuevo Reglamento General de Protección de Datos (RGPD). Tras 4 años de reuniones, deliberaciones y negociaciones, los Estados miembros de la Unión Europea aprobaron un reglamento que refuerza los derechos de los individuos en cuanto a sus datos personales y aumenta la responsabilidad de los encargados de su gestión y tratamiento, entre ellos, por supuesto, muchas de las empresas del circuito. 

El RGPD realmente entró en vigor el 25 de mayo de 2016, si bien la fecha en que empezará a ser aplicado es el 25 de mayo de 2018. El denominado RGPD es, en realidad, una extensión comunitaria de ciertas medidas que cada país aplicaba en el plano interno antes de 2016. Al mismo tiempo, se encuentra en tramitación en el Congreso la nueva Ley Orgánica de Protección de Datos, que sustituirá a la del año 1999 que se venía aplicando hasta la fecha, para adaptarla a la normativa europea.

Este nuevo reglamento será de obligado cumplimiento para todas las empresas que traten con datos personales de clientes, ya sea para uso interno o externo, por eso es importante tenerlo en cuenta cuando basamos la gestión de nuestra empresa en la utilización de los datos que obtenemos de nuestros clientes.

¿Qué es el RGPD?

El RGPD (o GDPR, por sus iniciales en inglés) es una norma a nivel europeo que afecta a cualquier entidad (empresa, autónomo y otros) que realice un tratamiento de datos en el ámbito de la Unión Europea.

El Reglamento Europeo sobre la Protección de Datos (RGPD) es un documento dirigido tanto a los ciudadanos de la Unión Europea como a las empresas o terceros que se encargan de gestionar los mismos. Se basa en principios como la transparencia y la accesibilidad, y resalta como deber principal la responsabilidad y la gestión de la información personal. De manera que, es importante tener en cuenta que incluso si la empresa no es europea, si ofrece servicios en el ámbito de la UE, también debe cumplir el RGPD. Se incluye también a la Administraciones Públicas, asociaciones, comunidades de propietarios, etc.

En ese sentido proporciona definiciones de prácticas esenciales, como por ejemplo la limitación del tratamiento de datos, la seudonimización, la elaboración de perfiles, la violación de la seguridad, los datos genéricos y biométricos y la autoridad de control, así como las figuras de empresa, representante y grupo empresarial. Con carácter general, podemos decir que el nuevo reglamento implica una protección reforzada de los datos de carácter personal, otorgando un mayor control al usuario sobre el tipo de uso que puede hacerse de los mismos.

Por tanto, el nuevo RGPD supone, entre otros aspectos, lo siguiente:

1. Minimización de datos y limitación de finalidad: solo deben recogerse los datos estrictamente necesarios para la finalidad que se pretende.
2. El consentimiento del usuario deberá ser expreso, libre, informado, específico e inequívoco. Se elimina la posibilidad de consentimiento tácito.
3. Mejora de la información al usuario, con textos claros y concisos.
4. Derecho al olvido. Los usuarios podrán solicitar que los datos personales sean eliminados en tres casos: cuando ya no sean necesarios para el fin para el que fueron reunidos, cuando se haya revocado el consentimiento o cuando se hayan obtenido de forma ilegal.
5. Derecho a la portabilidad. El interesado podrá requerir que sus datos se transmitan a otro responsable, o bien que le sean entregados a él mismo en formato electrónico.
   

¿Cuáles son las principales obligaciones?

Estos derechos del usuario se traducen en las siguientes obligaciones para las empresas:

1. Obtener siempre el consentimiento expreso del usuario para el tratamiento de datos, habiéndole informado de los siguientes aspectos:
2. Quién es el responsable de la gestión de datos.
3. Quiénes son los destinatarios de los datos (tanto la propia empresa como terceros que le presten servicios).
4. El hecho mismo de estar recogiéndose sus datos, en qué medida serán tratados y las consecuencias de no facilitarlos.
5. Con qué finalidades se recogen los datos y cuál es la base jurídica para su tratamiento.
6. Plazo durante el que se conservarán los datos o los criterios para determinarlo.
7. Su derecho de acceso, rectificación, supresión, limitación u oposición al tratamiento, así como el nuevo derecho a la portabilidad.
8. Registro de actividades de tratamiento. Ya no es necesario registrar los ficheros ante la AEPD. Sin embargo, será obligatorio mantener un registro interno de todos los tratamientos de datos personales que lleve a cabo la entidad, siempre que tenga más de 250 empleados o si realiza tratamiento de datos sensibles (tales como los relativos a la salud, opiniones políticas, afiliación religiosa, datos biométricos, etc.).
9. Obligación de notificar violaciones de seguridad: En caso de producirse violaciones en la seguridad que puedan afectar a los datos personales almacenados, deben notificarse a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Si además ese ataque pudiese haber afectado a datos de carácter sensible y con gran repercusión en los usuarios, también se les deberá notificar a ellos.
10. Responsabilidad proactiva: Las empresas deben analizar los riesgos del tratamiento y tratar de prevenirlos. Una medida importante en este sentido son las evaluaciones de impacto, que son obligatorias para el tratamiento de datos de alto riesgo.
11. Se crea la figura del Delegado de Protección de Datos, aunque no será obligatorio en todas las empresas.

¿Cuáles son las sanciones?

El ámbito de la protección de datos siempre se ha caracterizado por las elevadas sanciones económicas que se preveían para casos de incumplimiento. Su finalidad es claramente disuasoria, para fomentar un cumplimiento lo más amplio posible de las prescripciones legales. Con la nueva legislación, estas previsiones también salen reforzadas. De este modo, frente al rango de sanciones de la anterior ley (entre 900 € y 600.000 €), la nueva ley prevé las siguientes sanciones máximas:

• Entre 10 y 20 millones de euros.
• Entre el 2% y el 4% del volumen de negocio de la empresa.

No obstante, además de las sanciones económicas, el nuevo RGPD prevé tres medidas adicionales, de menor a mayor importancia:

1. Advertencia.
2. Amonestación.
3. Suspensión del tratamiento de datos.

Al igual que sucede actualmente, la autoridad competente para la imposición de sanciones será la Agencia Española de Protección de Datos (AEPD).  Otra novedad muy importante del RGPD es la posibilidad de que el perjudicado pueda solicitar una indemnización, algo que no contemplaba la anterior ley orgánica de protección de datos.

¿Están las empresas preparadas?

Es fácil suponer que muchísimos autónomos y PYMES, bien sea por falta de recursos, bien por falta de información o simple dejadez, no está preparados para afrontar las nuevas obligaciones de la ley de protección de datos. Quizás, en muchos casos, tampoco estarían cumpliendo plenamente los requisitos del anterior marco legal.

Por otra parte, uno podría pensar que las grandes empresas estarían perfectamente listas para trabajar con el nuevo RGPD. Sin embargo, la realidad es muy diferente. De hecho, un reciente estudio apunta que solo un 10% de las grandes empresas españolas estaban preparadas para asumir el nuevo marco legal sobre protección de datos. La media europea, un poco mejor, no deja de ser exigua: apenas un 20%. Según ese mismo estudio, las causas que aducían las empresas para no haberse puesto al día serían las siguientes:

• Falta de personal especializado (49%).
• Ausencia de presupuesto (46%).
• Desconocimiento (42%).

¿Cómo se pueden preparar?

En primer lugar, es necesario tomar conciencia de la importancia de esta reforma legal, ya no solo por las eventuales sanciones, sino por la propia imagen de la empresa. En este sentido, en un contexto como el actual, donde los usuarios son cada vez más conscientes de la importancia de su privacidad, las empresas con una buena política de protección de datos pueden ser percibidas más positivamente. El siguiente paso dependerá, en gran medida, de la capacidad y tamaño de la empresa, así como del tipo de tratamiento que realicen.

De este modo, algunas compañías pueden optar por realizar una gestión interna de la adaptación de la protección de datos, debiendo realizar un esfuerzo de formación del personal existente o bien optar por incorporar nuevos empleados.

Otras empresas, por el contrario, podrían preferir contratar con una empresa externa la adaptación al nuevo reglamento de protección de datos. Existen muchos despachos de abogados que actualmente ofrecen servicios específicos en este sentido. En cualquier caso, en ambos casos la empresa precisará un esfuerzo formativo, dado que, incluso si se subcontrata la adaptación, hay aspectos que deben gestionarse internamente.

Adaptación al RGPD en Call Centers

Para los Call Centers, el tratamiento datos es algo consustancial a su actividad diaria. No puede entenderse su trabajo sin ellos. Por tanto, el cumplimiento de la nueva ley orgánica de protección de datos y el RGPD será una cuestión prioritaria. Según el nuevo marco legal, algunos de los pasos esenciales para realizar esta adaptación serían los siguientes:

1. Verificar que se cumplen todas las exigencias legales en cuanto a información y consentimiento, según hemos indicado más arriba. En caso contrario, realizar las adaptaciones pertinentes.
2. En particular, los Call Centers deben justificar los motivos por los que se graban las llamadas, en su caso.
3. Determinar el tipo de datos que trata el Call Center. El nuevo RGPD establece una protección reforzada en los casos de datos sensibles (salud, raza, orientación sexual, religión o ideología política). En esos supuestos, deberemos cumplir obligaciones adicionales.
4. Elaborar el Documento de Seguridad (donde se resume todo lo relativo a las actividades de tratamiento que hace el Call Center) y nombrar a un Responsable del Fichero.
5. Garantizar un procedimiento eficaz de acceso a sus datos por parte del usuario. Esto incluirá, además de los derechos ARCO, los nuevos derechos al olvido y a la portabilidad.
6. Establecer un registro interno del tratamiento de datos, si la empresa tiene más de 250 empleados o trata datos sensibles.
7. Determinar si el Call Center necesita implantar la figura del Delegado de Protección de Datos.

Estos son solo algunos de los pasos esenciales que debería acometer cualquier Call Center para asegurarse de estar cumpliendo el RGPD. No obstante, no podemos tratar aquí todos los pormenores que conlleva la adaptación al nuevo marco legal. Por eso es recomendable contar con un asesoramiento especializado o acudir a la Agencia Española de Protección de Datos para resolver cualquier duda en esta materia.

Aspectos clave del RGPD

En definitiva, y a modo de resumen de la ley de protección de datos, podemos señalar como aspectos clave de esta reforma los siguientes:

• La entrada en vigor del nuevo RGPD, a todos los efectos, es el 25 de mayo de 2018.
• La nueva normativa promueve la transparencia como principio inspirador en el tratamiento de los datos personales.
• Se refuerza el control del usuario respecto del uso que se hace de sus datos.
• La información que se le proporcione debe ser completa y comprensible.
• El consentimiento ha de ser libre, inequívoco y expreso, y puede ser retirado posteriormente.
• Se establece una distinción entre datos ordinarios y datos sensibles, con diferente nivel de protección.
• Las empresas adoptarán una actitud preventiva en el manejo de los datos e informarán de los fallos de seguridad.
• Se refuerza el sistema de apercibimientos y sanciones para los casos de incumplimiento.

Recomendaciones para la implementación del RGPD

Una vez conocidas las principales novedades en materia de protección de datos, solo resta mencionar unas recomendaciones finales de carácter más general. En este sentido, sería interesante adoptar un cambio de perspectiva respecto de esta normativa. Así, en lugar de verla como una nueva carga legal o un coste añadido, podemos enfocarla como una oportunidad para la empresa. De este modo, en un contexto donde la información tiene cada vez más valor, aquellas empresas que tomen la iniciativa de destacarse por un exquisito tratamiento de los datos personales podrían gozar de una ventaja competitiva respecto de las demás.

Los usuarios están tomando conciencia del auténtico valor de sus datos y van a ser cada vez más cautelosos a la hora de cederlos. Por ello, ante cualquier disyuntiva, acabarán dando preferencia a aquellas entidades que sean más respetuosas en este ámbito. Por tanto, más que el temor a una sanción, debería ser el respeto a nuestros clientes y la mejora de nuestra competitividad lo que nos moviese a cumplir con el nuevo RGPD.

Opiniones de referentes en el sector empresarial

EAE – Escuela de Administración de Empresas

“La publicación del RGPD, que tuvo lugar el 4 de mayo de 2016 en el Diario Oficial de la Unión Europea, es un paso adelante para garantizar el derecho de todas las personas de la región comunitaria a saber lo que sucede con los datos que proporcionan a terceros.

En tiempos en que el volumen de información es cada vez mayor y las fuentes de la misma son de diversa naturaleza, conviene establecer unos estándares para el buen uso de los datos relativos a la identidad de los ciudadanos.

La aparición del RGPD coincide, además, con la consolidación de una tendencia según la cual el tratamiento de datos en general, y particularmente los personales, se esboza como un área de trabajo a largo plazo para empresas y particulares, que tendrán que enmarcar esta actividad en principios como la lealtad, la seguridad y la transparencia.”