Gestión de datos personales en ERP y web
Las Pymes, suelen ser las empresas que más incumplen el RGPD (Reglamento General de Protección de datos), en la mayoría de casos por desconocimiento de la ley y en otros pocos casos por priorizar beneficios a invertir en adaptarse a una norma que creen erróneamente no va a devolver la inversión realizada y asumiendo así el riesgo de enfrentarse a sanciones económicas muy importantes.
¿Qué es la RGPD?
RGPD son las siglas correspondientes al Reglamento General de Protección de Datos y es la normativa en lo que respecta a protección de datos vigente y de obligatorio cumplimiento en toda la Unión Europea sin excepciones. No cumplir con la RGPD supone exponerse a millonarias multas por infracciones leves de hasta 40.000€ hasta 300.000€ por infracciones graves.
Derechos usuarios RGPG
Entre los principales derechos que afecta a usuarios y empresas se puede destacar:
- Derecho a la transparencia de la información
- Derecho de supresión (derecho al olvido)
- Derecho de limitación del tratamiento
- Derecho de portabilidad
¿Cómo cumplir con la RGPG?
- Registrar los tratamientos realizados en la empresa: se debe registrar identidad y datos del responsable, representante o delegado (si lo hay), finalidad con que se recogen, categoría de los datos, si van a ser cedidos a terceros, plazos de eliminación de los datos y mediadas técnicas para asegurar los datos
- Deber de confidencialidad: se debe señalar al responsable del tratamiento de los datos, así como las medidas técnicas para asegurar los datos.
- Consentimiento inequívoco: Se considera consentimiento inequívoco aquella manifestación libre, voluntaria, informada y activa por parte del interesado, mediante la cual acepta de forma explícita el tratamiento de sus datos.
- Obligación de dar más información: obligación de informar al interesado sobre las vías de las que dispone para ejercer sus derechos.
- Análisis de riesgos: Los responsables o encargados han de realizar un análisis del riesgo que puede provocar el tratamiento de determinados datos personales.
- Comunicar incidentes seguridad: Se debe comunicar cualquier violación de la seguridad de los datos a los afectados y a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.
- Evaluaciones de impacto sobre la protección de datos: Los responsables de los datos de las empresas, deberán valorar si procede realizar una evaluación del impacto que su tratamiento produce en la protección de datos de los interesados.
- Contratos de encargado del tratamiento: El encargado del tratamiento es la persona que maneja los datos e información personal de clientes, proveedores o prestadores de servicios de una empresa, a través de un contrato firmado con los responsables del tratamiento.
- Garantizar los derechos digitales: estos derechos son: Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición.
- Designar Delegado de Protección de Datos: esta figura solo es obligatoria en determinados casos como por ejemplo: colegios profesionales, centros docentes, empresas de redes, prestadores SSI, entidades financieras, aseguradoras, mercado de valores, centros sanitarios, empresas de perfiles de usuario, empresas sector juego, seguridad privada y federaciones deportivas.
Datos personales en el ERP
En un ERP pueden existir más de 20.000 campos con datos personales. Con el nuevo reglamento europeo de protección de datos esto puede ser un verdadero caos para las empresas.
De acuerdo con el RGPD, para tener identificados todos los datos personales, tu ERP debe incluir un indicativo en todos los campos de la base de datos que contienen datos personales o categorías especiales de datos personales, según la definición de dato personal en el nuevo reglamento e incluir, también, herramientas para el análisis de esta información.
SAP Business One y gestión RGPD
SAP Business One dispone de un Asistente de gestión de datos que permite identificar qué tipos de datos contienen datos personales para clasificarlos adecuadamente y cumplir con las obligaciones en materia de protección de datos personales. Ver post: RGPD en SAP Business One
Datos personales en el Web
Cualquier página web (sean comerciales o no) que recoja datos personales a través de campos de formularios debe adaptarse para que cumpla el Reglamento General de Protección de Datos. Esto incluye:
- Los formularios de contacto
- Formularios de registro (ecommerce, blogs y aplicaciones de cualquier tipo)
- Formularios ecommerce de datos de pedido.
- Las casillas de comentarios de entradas
- Los formularios de suscripción a una newsletter