Durante el mes de Mayo del año pasado recibimos un montón de correos y tuvimos que prepararnos para cumplir con el nuevo Reglamento Europeo de Protección de Datos (RGPD). Cómo es evidente este cambio supuso una inquietud para las entidades sociales para adaptarse a este nuevo contexto debido a los datos sensibles con los que trabajamos. Por eso desde m4Social empezamos a trabajar este ámbito con el objetivo de acompañar a las entidades en esta adaptación a las circumstàncise actuales. Por eso, en colaboración con Barcelona Activa, iniciamos un curso para formar DPO’s (Data Protection Officer) en las entidades de laTaula.
A partir de aquí empezamos una serie de artículos que quieren resolver dudas y contribuir a la sensibilización del cumplimiento de la Protección de Datos para las entidades del Tercer Sector así como generar debate en torno en qué punto nos encontramos en este aspecto.
Contexto: ¿Todo esto pasa desde mayo de 2018?
No, hay que tener presente que la normativa que entró en vigor en mayo había sido anunciada con bastantes meses de antelación. A pesar de todo, la capacidad que tienen la mayoría de organizaciones con y sin ánimos de lucro, de asimilar estos cambios es muy limitada. Por eso se produjo una situación de estrés cuando llegó la fecha de inicio de las posibles sanciones.
Pero ¿qué quiere decir Protección de Datos?
El ámbito de la Protección de Datos tiene una relación directa con el compliance, puesto que se trata los métodos que las organizaciones o entidades de manera proactiva tienen que seguir para conocer y cumplir con sus obligaciones y mitigar de este modo los riesgos de incumplimiento de obligaciones legales.
La Protección de Datos habla sobre el derecho fundamental de las personas, y busca proteger su intimidad y su privacidad ante posibles incumplimientos que proceden de la recogida y almacenamiento por parte de empresas o entidades. Derivado de este derecho fundamental el mayo del 2018 entró en vigor el nuevo Reglamento de Protección de Datos (RGPD o GDPR), la nueva normativa en materia de protección de datos. Es la primera vez que se unifican criterios sobre el que se consideran datos personales y como protegerse ante posibles vulnerabilidades.
Hay muchas formas en que las entidades sociales pueden prepararse para el cumplimiento de la GDPR. Para empezar, las organizaciones sin finalidad de lucro tienen que ser capaces de explicar como y por qué procesan los datos personales. También tienen que poder explicar cualquier información que comparten con terceros e identificarlos.
¿Qué pasa si mi entidad no cumple la GRPD?
Hay que tener en cuenta que esta nueva ley no solo afecta a las grandes empresas, si no que afecta a pequeñas y medianas empresas y a todas las organizaciones del Tercer Sector que trabajan con datos sensibles. Para aquellas organizaciones que incumplan esta ley, puede haber sanciones que pueden llegar a los 20 millones de euros o el 4% de la facturación global anual.
¿Qué novedades más incluye la GRPD?
-
Sellos y certificaciones: se prevé que se creen sellos y certificaciones que permitan acreditar el cumplimiento por parte de las organizaciones.
-
Se introduce el concepto de ventanilla única, que permitirá a cualquier ciudadano presentar una reclamación ante la autoridad de protección de datos de su lugar de residencia, de su puesto de trabajo o del lugar donde se hubiera cometido la presunta infracción, independientemente del domicilio de la organización denunciada.
-
Será recomendable y en algunos casos obligatorio designar un Delegado de Protección de Datos (DPO), interno o externo, que asista a las organizaciones en el proceso del cumplimiento normativo.