


El Instituto Nacional de Ciberseguridad —INCIBE— pone a disposición de pymes, empresas y profesionales autónomos un espacio informativo dedicado al cumplimiento del Reglamento General de Protección de Datos —RGPD—.
La correcta gestión de los datos personales no solo permite cumplir las obligaciones legales, sino que contribuye a reforzar la confianza de clientes, personas usuarias, trabajadores y colaboradores.
La normativa resulta aplicable a las empresas y profesionales establecidos en la Unión Europea que traten datos personales, con independencia de dónde se realice materialmente dicho tratamiento.
También afecta a las organizaciones que, aunque no estén establecidas en la Unión Europea, ofrezcan bienes o servicios a personas situadas en su territorio o realicen un seguimiento de su comportamiento.
Para cumplir adecuadamente el RGPD, cada empresa debe conocer qué datos personales recoge, dónde los almacena, durante cuánto tiempo los conserva, quién puede acceder a ellos y para qué finalidad los utiliza.
A partir de esta información debe realizarse un análisis de riesgos que permita determinar las medidas técnicas y organizativas necesarias para proteger los derechos y libertades de las personas afectadas.
Las empresas deben informar de manera visible, accesible, sencilla y transparente sobre el tratamiento que realizan de los datos personales.
Cuando el tratamiento requiera consentimiento, este deberá ser inequívoco o expreso, según la categoría de los datos. El consentimiento tácito, basado en la inacción o el silencio de la persona interesada, ya no se considera válido.
Las organizaciones deben disponer de procedimientos que permitan a las personas ejercer de forma sencilla sus derechos en materia de protección de datos y dentro de los plazos legalmente establecidos.
También deben revisar los contratos con proveedores o empresas externas que accedan a datos personales por cuenta de la organización y establecer mecanismos para actuar y, cuando proceda, informar ante una violación de seguridad.
INCIBE recomienda aplicar medidas destinadas a garantizar la confidencialidad, integridad y disponibilidad de la información.
Entre ellas se encuentran el control de accesos, la actualización de dispositivos y programas, el cifrado de datos, la realización de copias de seguridad, la utilización de herramientas antimalware y la protección de las comunicaciones mediante cortafuegos, redes privadas virtuales u otros sistemas seguros.
Cuando una pyme o profesional realiza únicamente tratamientos de bajo riesgo, puede recurrir a la herramienta Facilita de la Agencia Española de Protección de Datos.
No obstante, antes de utilizarla es necesario comprobar que no se realizan tratamientos masivos, de alto riesgo o que incluyan categorías especiales de datos personales.
El espacio de INCIBE ofrece orientaciones sobre el ámbito de aplicación del RGPD, los pasos necesarios para su cumplimiento, la organización interna de la empresa y las medidas tecnológicas que deben implantarse.
Las empresas y profesionales interesados pueden consultar toda la información en: