¿Qué significa exactamente “cumplir” con el RGPD?
Desde 2018, las reglas para la protección de datos personales y las respectivas obligaciones para las empresas en la forma en que tratan sus datos (incluidos sus propios trabajadores) han cambiado radicalmente.
Todas las empresas y proyectos deben, desde el principio, tener en cuenta la legislación de protección de datos:
- RGPD – Reglamento General de Protección de Datos, y
- La nueva Ley de Protección de Datos portuguesa (n.º 58/2019)
En resumen, y por principio, la legislación de protección de datos privilegia los derechos de las personas como titulares de datos personales, y establece una serie de obligaciones para las empresas, que pueden incurrir en fuertes multas si no las cumplen.
A continuación enumeramos algunas de las principales obligaciones a tener en cuenta para la organización de un evento que cumpla con el RGPD:
- Conoce la base y el propósito del procesamiento de datos: si necesitas solicitar o acceder a datos personales, o procesar datos de cualquier otra manera, deberás saber si necesitas solicitar el consentimiento previo del interesado o si lo estás haciendo basado en un contrato. También deberás tener en cuenta exactamente el “por qué” del tratamiento e informar al interesado en detalle sobre las operaciones de tratamiento que realizarás y qué medidas tomarás para mantenerlas a salvo.
- Consentimiento: se exige a los organizadores de eventos que obtengan y almacenen el consentimiento de cada uno de los participantes, definiendo también que este debe ser obtenido de forma clara y objetiva. Como se dijo en el artículo “¿Qué es el RGPD?”, el consentimiento debe partir de una decisión libre e informada del usuario.
- Notificación de violación de la protección de datos (breach notification): el RGPD define una notificación obligatoria a usuarios y autoridades cuando se produce un fallo de seguridad, pérdida de datos o acceso ilegítimo por un tercero, que tendrá que hacerse en un plazo máximo de 72 horas. Dependiendo de los casos, la Comisión Nacional de Protección de Datos y/o el (los) interesado(s) deben ser notificados.
- Derecho de acceso: Los organizadores tendrán que estar siempre preparados para proporcionar copias de los registros de los participantes en los eventos. En caso de que un participante solicite acceso a sus datos, los datos deberán estar disponibles en un plazo máximo de 30 días.
- Derecho al olvido (right to be forgotten): los titulares de los datos pueden en cualquier momento pedir no sólo que sus datos sean borrados, sino que dejen de ser compartidos con cualquier tercera entidad (hoteles, espacios, patrocinadores, etc.).
- Transferencia de datos (data portability): se da la posibilidad a los individuos de solicitar una copia de sus datos personales previamente sometidos y/o de transferirlos a otra organización (que puede ser un competidor). La información deberá proporcionarse en un formato comúnmente utilizado para que la nueva organización pueda utilizarla de forma inmediata.
- Privacidad desde el diseño y privacidad por defecto (privacy by design y privacy by default): se requiere que la seguridad de los datos y la legalidad del procesamiento de datos de datos esté integrada en todos los productos y procesos desde el principio. Esto se aplica a los sistemas tecnológicos que ayudan a almacenar y organizar la información personal de los asistentes al evento, pero no sólo. Otros sistemas en la empresa, como el CRM, sistemas de facturación, etc., también tendrán que cumplir este requisito.
Regresa a nuestro índice RGPD: ¿Tus eventos están preparados para el RGPD?
¿Ha quedado alguna duda? ¡Habla con nosotros!