RGPD simplificado: Una guía para su pequeña empresa
Eche un vistazo a todo el contenido de nuestra pequeña empresa sobre el aprendizaje de ayuda para pequeñas empresas.
Uso de Microsoft 365 para empresas para ayudarle a mitigar y administrar el cumplimiento del RGPD
El Reglamento general de protección de datos (RGPD) es una normativa de la Unión Europea (UE) que regula la forma en que una organización debe administrar los datos personales. Si su empresa vende, presta servicios o emplea a ciudadanos de la Unión Europea, el RGPD se aplica a esta.
Como administrador de una pequeña empresa, probablemente se pregunte "¿cómo puedo empezar?" Esto puede ser especialmente cierto si su empresa no controla los datos personales como una actividad empresarial básica o si el RGPD es totalmente nuevo para usted.
Puede empezar revisando este artículo, que tiene como objetivo ayudarle a comprender qué es el RGPD, por qué surgió y cómo Microsoft 365 para empresas puede ayudar a su organización a cumplir con el RGPD.
También incluye respuestas a preguntas comunes sobre el RGPD que pueden tener las pequeñas empresas y destaca los pasos que puede seguir una pequeña empresa para prepararse para el RGPD.
Importante
Las soluciones y recomendaciones de Microsoft 365 en este artículo son herramientas y recursos que pueden ayudarle a administrar y proteger sus datos, pero no son una garantía de cumplimiento del RGPD. Depende de usted evaluar su propio estado de cumplimiento. Consulte con sus propios asesores legales o profesionales cuando sea necesario.
Información general rápida del RGPD
El RGPD es una normativa de la UE que actualiza y expande la Directiva de protección de datos (PDD) anterior, aprobada por primera vez en 1995. El RGPD se refiere a la privacidad de los datos de una persona, ya sea de un cliente, un cliente, un empleado o un socio comercial. El objetivo del RGPD es reforzar la protección de datos personales para los ciudadanos de la UE, tanto si se encuentran en la UE como en otro lugar. La normativa establece expectativas y recomienda cómo lograrlas. Las organizaciones deben contar con medidas que cumplan los requisitos del RGPD.
El RGPD trata los datos y la manera en que se usan Piense que los datos tienen un ciclo de vida. El ciclo comienza cuando se recopilan datos, continúa mientras los almacena y los usa (se procesa) y termina cuando se eliminan completamente de sus sistemas.
El RGPD se preocupa de los siguientes tipos de datos:
Datos personales: Si puede vincular datos a una persona e identificarlos, esos datos se consideran personales con respecto al RGPD. Algunos ejemplos de datos personales son: nombre, dirección, fecha de nacimiento y dirección IP. El RGPD considera incluso información codificada (también conocida como información “pseudónima") como datos personales, independientemente de lo oscuros o técnicos que sean los datos, si se pueden vincular a una persona.
Datos personales confidenciales Se trata de datos que agregan más detalles a los datos personales. Algunos ejemplos incluyen: religión, afiliación sindical, origen étnico, etc. Los datos personales confidenciales también incluyen los datos biométricos y el ADN En RGPD, los datos confidenciales tienen más reglas de protección estrictas que los datos personales.
Términos de RGPD
Verá algunos términos a los que se hace referencia frecuentemente en el RGPD. Es importante entender estos términos.
Consentimiento:
El RGPD indica: "El procesamiento de datos personales debe diseñarse para servir a la humanidad". El RGPD espera lograr este objetivo mediante el uso del consentimiento al procesar datos personales. Puede ser un simple acto de preguntar a sus clientes si desean recibir mensajes de correo electrónico de su empresa. También significa que ya no necesita de más casillas de optar por no participar en su sitio web cuando desea usar datos para marketing. Debe dar consentimiento explícito mediante un "claro acto de transparencia". Además, también deberá conservar registros de cuándo se acepta o se revoca un consentimiento.
Derechos del interesado:
El RGPD establece los derechos de los interesados, lo que significa que, con respecto a sus datos personales, los clientes, empleados, socios comerciales, contratistas, estudiantes, proveedores, etc., tienen derecho a:
Estar informados sobre sus datos: Debe informar a las personas acerca del uso de sus datos.
Tener acceso a sus datos: Debe proporcionar acceso a las personas a cualquiera de sus datos que tenga (por ejemplo, mediante el acceso a la cuenta o de alguna forma manual).
Solicitar la recopilación de datos las personas pueden pedirle que corrija datos inexactos.
Solicitar que se eliminen los datos: Este derecho, también conocido como "derecho al borrado", permite que un usuario solicite que cualquiera de los datos personales que ha recopilado una empresa se elimine en todos los sistemas que los usan o los comparten.
Solicitar procesamiento restringido: una persona puede pedirle que suprima o restringa sus datos. Sin embargo, solo se puede aplicar en algunas circunstancias.
Tener portabilidad de datos: un individuo puede solicitar que sus datos se transfieran a otra empresa.
Objeto: una persona puede oponerse a que sus datos se utilicen para varios fines, incluido el marketing directo.
Pida que no esté sujeto a la toma de decisiones automatizada, incluida la recopilación: El RGPD tiene reglas estrictas sobre el uso de datos para crear perfiles de personas y automatizar decisiones basadas en ese proceso.
Pasos para prepararse para el RGPD
En esta sección se describen los pasos que una pequeña empresa puede seguir para prepararse para el RGPD. Gran parte de la información de estos pasos se ha proporcionado a través de Siete pasos para que las empresas se preparen para el Reglamento general de protección de datos, una publicación ofrecida a través de la Oficina de publicaciones de la Unión Europea.
Una buena manera para que una pequeña empresa empiece con el RGPD es asegurarse de aplicar los siguientes principios clave al recopilar datos personales:
- Recopile datos personales con fines claramente definidos para su uso y no los use para nada más. Por ejemplo, si les pide a sus clientes que proporcionen sus direcciones de correo electrónico para que puedan recibir sus nuevas ofertas o promociones, solo puede usar sus direcciones de correo electrónico para ese propósito específico.
- No recopile más datos de los que necesita. Por ejemplo, si su empresa requiere una dirección de envío para poder entregar productos, necesita la dirección de un cliente y un nombre, pero no necesita conocer el estado civil de la persona.
Paso 1: Conocer los datos personales que recopila y usa en su empresa y los motivos por los que los necesita
Como pequeña empresa, uno de los primeros pasos que debe realizar es realizar un inventario de los datos personales que recopila y usa dentro de su empresa, y por qué se necesitan. Esto incluye los datos tanto de los empleados como de los clientes.
Por ejemplo, es posible que necesite los datos personales de su empleado en función del contrato laboral y por motivos legales (por ejemplo, declarar impuestos al Servicio de Impuestos Internos).
Como otro ejemplo, puede administrar listas de clientes individuales para enviarles avisos sobre ofertas especiales, si han dado su consentimiento a esto.
Características de Microsoft 365 que pueden ayudar en el paso 1
Microsoft Purview Information Protection puede ayudarle a descubrir, clasificar y proteger información confidencial en su empresa. Puede usar clasificadores capacitados para ayudarle a identificar y etiquetar los tipos de documento que contienen datos personales.
Paso 2: Informar a sus clientes, empleados y otras personas cuando necesite recopilar sus datos personales
Las personas deben saber que usted procesa sus datos personales y con qué propósito. Por ejemplo, si un cliente necesita crear un perfil de cliente para acceder al sitio en línea de su empresa, asegúrese de indicar específicamente lo que quiere hacer con su información.
Pero no es necesario informar a los usuarios cuando ya saben cómo se usarán los datos. Por ejemplo, cuando le proporcionan una dirección particular para hacer una entrega que han solicitado.
También tiene que ser capaz de informar a las personas que lo soliciten sobre los datos personales que tiene sobre ellas y darles acceso a sus datos. Ser organizado con los datos hará que sea más fácil proporcionarlos, si es necesario.
Paso 3: Conservar los datos personales solo durante el tiempo necesario
En el caso de los datos de los empleados, consérvelos mientras se mantenga la relación laboral y para las obligaciones legales relacionadas. En el caso de los datos de los clientes, consérvelos durante la relación con ellos y para las obligaciones legales relacionadas (por ejemplo, con fines fiscales). Elimine los datos cuando ya no sean necesarios para los fines para los que los recopiló.
Características de Microsoft 365 que pueden ayudar en el paso 3
Las directivas de retención y las etiquetas pueden usarse para ayudarle a conservar los datos personales durante un tiempo determinado y eliminarlos cuando ya no sean necesarios.
Paso 4: Proteger los datos personales que está procesando
Si almacena datos personales en un sistema de TI, limite el acceso a los archivos que contienen los datos, por ejemplo, mediante una contraseña segura. Actualice periódicamente la configuración de seguridad del sistema.
Nota:
El RGPD no ordena el uso de ningún sistema de TI específico, pero exige que el sistema tenga el nivel de seguridad adecuado. Consulte el Artículo 32 del RGPD: Seguridad del procesamiento para obtener más información.
Si almacena documentos físicos con datos personales, asegúrese de que no sean accesibles para personas no autorizadas.
Si decide almacenar datos personales en la nube, como a través de Microsoft 365, cuenta con características de seguridad como la capacidad de ayudarle a administrar permisos para archivos y carpetas, ubicaciones seguras centralizadas para guardar los archivos (bibliotecas de documentos de OneDrive o SharePoint) y cifrado de datos al enviar o recuperar los archivos.
Características de Microsoft 365 que pueden ayudar en el paso 4
Puede usar Configurar características de cumplimiento para proteger la información confidencial de la empresa. El Administrador de cumplimiento puede ayudarle para que empiece de inmediato. Por ejemplo, puede crear e implementar directivas de prevención de pérdida de datos que usen la plantilla rgpd.
Paso 5: Mantener documentación sobre sus actividades de procesamiento de datos
Prepare un documento breve que explique qué datos personales posee y por cuáles motivos. Es posible que deba poner la documentación a disposición de la autoridad de protección de datos nacional si es necesario.
Esos documentos deben incluir la información que se muestra a continuación.
| Información | Ejemplos |
|---|---|
| El propósito del procesamiento de datos | Alertar a los clientes sobre ofertas especiales, como proporcionar entrega en casa; proveedores de pago; cobertura de salario y seguridad social para empleados |
| Los tipos de datos personales | Detalles de contacto de los clientes; detalles de contacto de los proveedores; datos de empleados |
| Las categorías de personas interesadas | Empleados; clientes; proveedores |
| Las categorías de destinatarios | Autoridades laborales; autoridades fiscales |
| Los períodos de almacenamiento | Los datos personales de los empleados hasta la finalización del contrato laboral (y las obligaciones legales relacionadas); los datos personales de los clientes hasta la finalización de la relación contractual/cliente |
| Las medidas de seguridad técnicas y organizativas para proteger los datos personales | Soluciones del sistema de TI actualizadas periódicamente; ubicación protegida; control de acceso; cifrado de datos; copia de seguridad de datos |
| Si los datos personales se transfieren a destinatarios fuera de la UE | Uso de un procesador fuera de la UE (por ejemplo, almacenamiento en la nube); ubicación de datos del procesador; compromisos contractuales |
Puede encontrar los compromisos contractuales de Microsoft con relación al RGPD en el Anexo de protección de datos de Microsoft Online Services, que proporciona los compromisos de privacidad y seguridad de Microsoft, los términos de procesamiento de datos y los términos del RGPD para los servicios hospedados por Microsoft a los que los clientes se suscriben en virtud de un contrato de licencias por volumen.
Paso 6: Asegurarse de que los subcontratistas respeten las reglas
Si subcontrata el procesamiento de datos personales a otra empresa, solo use un proveedor de servicios que garantice el procesamiento de acuerdo con los requisitos del RGPD (por ejemplo, medidas de seguridad).
Paso 7: Asignar a alguien para supervisar la protección de datos personales
Para proteger mejor los datos personales, es posible que las organizaciones tengan que designar un Delegado de protección de datos (DPO). Sin embargo, es posible que no tenga que designar un Delegado de protección de datos si el procesamiento de datos personales no es una parte fundamental de su empresa o si es una pequeña empresa. Por ejemplo, si su empresa solo recopila datos de los clientes para la entrega en casa, no debería tener que designar un DPO. Incluso si necesita hacer uso de un DPO, estas tareas pueden asignarse a un empleado existente, además de sus otras tareas. O bien, podría elegir contratar a un consultor externo para este trabajo, según sea necesario.
Normalmente no es necesario llevar a cabo una Evaluación del impacto de la protección de datos. Esto está reservado para las empresas que suponen más riesgo para los datos personales (por ejemplo, si realizan una supervisión a gran escala de un área de acceso público, como la vigilancia de vídeo).
Si es una pequeña empresa que administra los salarios de los empleados y una lista de clientes, normalmente no es necesario realizar una Evaluación del impacto en la protección de datos.
Preguntas comunes de pequeña empresa sobre el RGPD
Soy el único propietario, ¿de verdad tengo que preocuparme del RGPD?
El RGPD trata sobre los datos que usted procesa, no sobre el número de empleados que usted tiene. Afecta a empresas de todos los tamaños, incluso empresas individuales. Sin embargo, las compañías con menos de 250 empleados tienen algunas excepciones, como la reducción de la conservación de registros, pero solo si está seguro de que el procesamiento de datos no afecta a los derechos de la persona y es ocasional.
Como ejemplo, el procesamiento de datos no personales estará exento o necesitará medidas reducidas. Sin embargo, si procesa cualquier dato que se vean como "datos especiales confidenciales por categorías", aunque solo en ocasiones tendrá que registrar este procesamiento de datos. La definición de "procesamiento ocasional" es imprecisa, pero está pensada para aplicarse a datos que se usan una vez o de forma muy ocasional.
También debe asegurarse de que los datos personales que recopile estén protegidos. Esto significa que necesita cifrarlo y asegurarse de que el acceso a él se controla con al menos una contraseña. Mantener los datos del cliente en una hoja de cálculo en su escritorio sin ninguna protección no cumplirá las expectativas de RGPD.
¿Cómo saber si nuestro sitio web de la compañía está en cumplimiento con el RGPD?
La primera pregunta que tiene que hacer es: ¿recopila datos personales en cualquier parte de su sitio? Por ejemplo, puede que tenga un formulario de contacto que le pida un nombre y una dirección de correo electrónico. Si quiere enviar correos electrónicos de marketing, asegúrese de agregar una casilla de "optar por participar" que explique exactamente para qué se usarán los datos. Solo si el destinatario comprueba esa casilla, puede usar sus datos personales con fines de marketing.
Además, compruebe que la base de datos que almacena los datos está protegida. Su empresa de hospedaje web o el proveedor de almacenamiento en la nube podrán recomendarle esto. Si usa Microsoft 365 para empresas, el almacenamiento de datos es compatible con RGPD.
Mi empresa está fuera de Europa. ¿Realmente nos afecta el RGPD?
El RGPD es una normativa que protege a los ciudadanos de la UE. Si su empresa se ocupa ahora de los ciudadanos de la UE o espera que se lo haga en el futuro, se verá afectado. Esto es válido tanto para los ciudadanos que viven en un estado de la UE como para los que viven en otro lugar.
Considere los siguientes ejemplos:
Una empresa estadounidense que alquile coches a ciudadanos de la UE necesitará cumplir los requisitos del RGPD cuando recopile y procese los datos del cliente. Se requiere que la empresa tome consentimiento cuando tome los datos del cliente y se asegure de que los datos se almacenan de forma segura. También necesitarán asegurarse de que el cliente pueda aplicar todos sus derechos de asunto de los datos.
Una empresa australiana vende productos en línea y sus usuarios configuraron cuentas en línea. Los derechos y el consentimiento del sujeto a los datos RGPD se aplicarán a los ciudadanos de la UE que abran una cuenta. La empresa necesitará asegurarse de que el cliente pueda aplicar todos sus derechos de asunto de los datos.
Una organización benéfica internacional recopila datos sobre donadores y los usa para enviar actualizaciones y solicitudes de donaciones. El RGPD indica: "... el tratamiento de datos personales con fines de marketing directo puede considerarse realizado por un interés legítimo". Sin embargo, la responsabilidad es de la organización de demostrar que sus intereses invalidan los del interesado. La empresa (o, en este caso, la organización benéfica) siempre debe obtener un consentimiento informado, explícito y voluntario.
El RGPD también se aplica si los datos de los clientes se desplazan entre fronteras. Si usa informática en la nube para el almacenamiento de datos, necesitará asegurarse de que el servicio cumple totalmente la normativa del RGPD. Puede resulta complicado si el almacenamiento de datos está en ubicaciones que tienen un registro de protección de datos deficiente. Si usa Microsoft 365 para empresas, ya tenemos la documentación legal correcta para cubrir los requisitos de RGPD.
Por supuesto, recopilo datos, pero otra empresa los almacena. ¿Eso me libera del anzuelo?
En el RGPD, si recopila datos, se verá afectado hasta cierto punto. El RGPD tiene el concepto de un procesador de datos y un controlador de datos:
Controlador de datos: Una persona u organización (puede tener controladores conjuntos) que decide cómo, qué y por qué se recopilan los datos. Pueden almacenarlo con los servidores en la nube de otra empresa. Por ejemplo, un sitio web que recopila datos de clientes es un controlador.
Procesador de datos: Una persona u organización que almacena datos en nombre del controlador o controladores y procesa estos datos a petición. Por ejemplo, el almacenamiento de datos de las Aplicaciones de Microsoft 365 para negocios actúa como procesador y cumple totalmente la normativa RGPD.
Una organización o sistema puede actuar como un controlador y un procesador. Microsoft 365 para empresas puede actuar en ambos casos y cumplir con el RGPD.
¿Puedo seguir enviando correos electrónicos de marketing a mis clientes antiguos?
Debe asegurarse de que sus clientes, incluso los que ha tenido durante años, hayan dado su consentimiento para utilizar sus datos para fines de marketing. Es posible que haya capturado anteriormente consentimiento, así como un registro para mostrarlo. Si es así, está listo para continuar con el marketing. De lo contrario, debe obtener el permiso del cliente para continuar comercializando con él. Esto generalmente implica enviar un correo electrónico pidiendo a los clientes que vayan a su sitio y seleccionen una opción para dar su consentimiento para recibir futuros correos electrónicos.
¿Tengo que preocuparme del RGPD cuando tengo que contratar nuevos empleados? ¿Qué pasa con los empleados actuales?
El RGPD no solo afecta a los datos de clientes; también se extiende a los datos de los empleados. Las nuevas empresas se suelen localizar con plataformas de medios sociales, como LinkedIn. Asegúrese de no almacenar ningún dato potencial para obtener datos sin su expreso consentimiento.
En cuanto a los empleados existentes y los contratos de nuevos empleados, una firma al final de un contrato no supone necesariamente consentimiento, especialmente cuando se utiliza una cláusula no afirmativa en un contrato. En este caso, debe capturar consentimiento de manera explícita asociada a la cláusula. Lo que esto significa depende de su contrato de empleado, pero puede usar "interés legítimo" en algunos casos y agregar un aviso de procesamiento de datos de empleados para asegurarse de que sus empleados estén al tanto de lo que hará con sus datos.
Satisfaga los problemas de privacidad con Microsoft 365 para empresas
Cumplir con el GDPR significa asegurarse de que los datos personales estén protegidos. El RGPD tiene un concepto conocido como Privacidad por diseño y por defecto. Esto significa que la protección de datos debe integrarse en un sistema y un producto, de modo que satisfacer las preocupaciones sobre la privacidad sea una segunda naturaleza.
Al igual que sus contrapartes más grandes, una pequeña empresa necesita comodidad sin sacrificar la seguridad. Microsoft 365 para empresas está diseñado para compañías de menos de 300 empleados. Las pequeñas empresas pueden utilizar las herramientas basadas en la nube de Microsoft para mejorar la productividad empresarial. Con Microsoft 365 para empresas, una pequeña empresa puede administrar correos electrónicos, documentación e incluso reuniones y eventos. También incluye medidas de seguridad integradas y administración de dispositivos, que son esenciales para el cumplimiento de RGPD.
Microsoft 365 para empresas puede ayudarle con el proceso de RGPD de las siguientes maneras:
Descubrir: Un paso importante para el cumplimiento de RGPD es saber qué datos tiene.
Administrar: controlar el acceso a los datos y administrar su uso es una parte integral del RGPD. Microsoft 365 para empresas protege los datos profesionales en función de las directivas que quiera aplicar en los dispositivos. La administración de dispositivos es esencial en una era en la que los empleados trabajan de forma remota. Microsoft 365 para empresas incluye características de administración de dispositivos que garantizan que los datos están protegidos en todos los dispositivos. Por ejemplo, puede especificar que todos los dispositivos con Windows 10 de su empresa estén protegidos a través de Windows Defender.
Protección: Microsoft 365 para empresas está diseñado para la seguridad. La administración de dispositivos y los controles de protección de datos funcionan en la red de su empresa, incluidos los dispositivos remotos, para ayudar a proteger los datos. Microsoft 365 para empresas ofrece controles como la configuración de privacidad en aplicaciones de productividad de Microsoft 365 y el cifrado de documentos. Con Microsoft 365 para empresas, puede realizar la supervisión de cumplimiento DE RGPD para asegurarse de que tiene el nivel adecuado de conjunto de protección.
Informe: El RGPD hace mucho énfasis en la presentación de informes. Incluso una empresa con un solo empleado, si esa empresa procesa grandes cantidades de datos, necesita documentar e informar sobre sus procedimientos. Microsoft 365 para empresas se encarga del problema de los requisitos de informes para las organizaciones más pequeñas.
Las herramientas como los registros de auditoría le permiten realizar un seguimiento e informar sobre el movimiento de datos. Los informes incluyen la clasificación de los datos que recopila y almacena, lo que hace con los datos y las transferencias de los datos.
Los clientes, empleados y clientes son cada vez más conscientes de la importancia de la privacidad de los datos y ahora esperan que una empresa u organización respeta esa privacidad. Microsoft 365 para empresas le proporciona las herramientas para conseguir y mantener el cumplimiento de RGPD sin tener que alcanzar un aumento masivo de su negocio.
Siguientes pasos
Para prepararse para el RGPD, estas son algunas sugerencias para los pasos siguientes que debe realizar:
Apoye a su programa de RGPD con las Listas de comprobación de preparación de responsabilidad
Investigue la implementación de Microsoft 365 para como solución para lograr y mantener el cumplimiento con RGPD.
Importante
Obtenga consejos legales adecuados para su empresa u organización.
Recursos adicionales
Información general del Centro de confianza de Microsoft del RGPD
Blog oficial de Microsoft: Compromiso de Microsoft con el RGPD
Sitios de la Comisión Europea: