¿Sabe si le afecta el Reglamento General de Protección de Datos?

Seguridad de los datos
© Xesai -iStock

Privacidad del Cliente

El Reglamento General de Protección de Datos (RGPD) es la nueva legislación de la Unión Europea para proteger los datos personales de los ciudadanos comunitarios. Un incumplimiento de estas normas -a partir del 25 de mayo de este año- podría acarrear multas de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa. Geoffrey Cooling nos guía a través de la legislación, los requisitos e implicaciones para clínicas y establecimientos de audiología.

Concentrados en un mercado cambiante y en los cambios tecnológicos, la mayoría de nosotros en este sector profesional parece que hemos perdido de vista una de las mayores amenazas de todos los tiempos para nuestra industria. ¿De qué estoy hablando: un nuevo actor, una nueva tecnología, una nueva estrategia de Internet? No, es la regulación de la privacidad.

En este primer artículo, me gustaría presentar el Reglamento General de Protección de Datos (RGPD) y explicar por qué podría resultar devastador para su negocio si no toma medidas. Se trata de una nueva regulación de la privacidad de la UE que se acordó en 2016 y va a entrar en vigor de forma inminente, en 2018.

Antes de delimitar la norma y lo que significa, le aseguro que atañe a su empresa: concierne desde al autónomo individual hasta a una multinacional, a partir del momento en que disponen de los datos de sus clientes.

El Reglamento General de Protección de Datos (RGPD (Reglamento (UE) 2016/679) es una norma por la cual el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de fortalecer y unificar la protección de datos para todas las personas dentro de la Unión Europea (UE).

El reglamento fue adoptado el 27 de abril de 2016 y entrará en vigor como aplicable obligatoriamente a partir del 25 de mayo de 2018 después de un período de transición de dos años. A diferencia de una directiva, no requiere que los gobiernos nacionales legislen para activarlo y, por lo tanto, es ya jurídicamente vinculante y aplicable.

El RGPD no solo protege datos dentro de la UE, también la exportación de datos personales fuera de la Unión. La regulación ha sido formulada para que los ciudadanos y residentes de la UE tengan control sobre sus datos personales. Tambien está diseñada para simplificar el entorno regulatorio.

Todas las organizaciones y todos los registros

Todas las organizaciones, de cualquier tamaño, deberán establecer procedimientos claros sobre el consentimiento de sus clientes y tener una base legal para recopilar datos, especialmente en el mundo digital. También significa que los consumidores tendrán el derecho de solicitar acceso a los datos almacenados sobre ellos y de cambiarlos o borrarlos.

En última instancia, todas las empresas deberán reconsiderar cómo se comunican con los clientes, cómo se reúnen datos y cómo organizan esos datos en un registro de auditoría efectivo.

Si bien muchos considerarán esto una regulación digital, es importante que también recordemos que los datos pueden guardarse en registros en papel. Por ello debemos considerar las fichas de clientes y su manejo de igual modo que los datos en soporte digital.

El alcance

El reglamento se aplica si el responsable de los datos (ese es usted) o el encargado de su tratamiento (Sycle, IPRO, Audidata, etc., básicamente cualquier sistema de gestión de datos del cliente) o el interesado (persona) tienen su sede en la UE. Sin embargo, el reglamento también es de aplicación a organizaciones radicadas fuera de la Unión Europea si recogen o procesan datos personales de residentes en la UE.

Sorprendentemente, algunos de los sistemas de gestión de pacientes que usamos a diario no son compatibles con el RGPD. Aunque no me cabe duda de que se está trabajando en ello. De hecho, los únicos dos que estoy seguro son compatibles son los sistemas ofrecidos por Auditdata y iPro. Barajo la posibilidad de enviar un cuestionario a todos los proveedores de software para la gestión de pacientes con el fin de evaluar su disposición.

Las sanciones

En virtud del RGPD, las empresas que infrinjan el reglamento pueden ser sancionadas hasta con el 4% de su facturación global anual o 20 millones de euros, la cifra que resulte más elevada. Es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener el consentimiento del cliente para procesar sus datos o violar los principios de la privacidad desde la concepción (en inglés “privacy by design”).

Hay un enfoque progresivo de las multas, se puede multar a una empresa con el 2% por no tener sus registros en orden (artículo 28), por no notificar a la autoridad supervisora y al interesado una filtración o por no realizar una evaluación del impacto. Es importante tener en cuenta que estas reglas son de aplicación tanto a las personas responsables de los datos como a los encargados de su tratamiento, lo cual significa que las “nubes” no estarán exentas de la aplicación del RGPD. Si se descubre que usted ha infringido el reglamento, se le aplicará una multa bastante grande. Una multa lo suficientemente grande como para posiblemente dejarle sin empresa. Cualquier infracción también podría conducir a acciones legales por parte de un consumidor lo cual podría destruir su empresa definitivamente. Debe considerar seriamente no solo su gestión de los datos, sino también por qué los recopila. También necesita tener en cuenta la seguridad de cualquier información personal recogida. El RGPD cubre todos los registros que incluyen información de clientes. Eso significa sus fichas de pacientes, sus listas de clientes, su sistema de gestión de pacientes, prácticamente cualquier registro que contenga datos.

Lea este artículo completo en el número 139 de Audio Infos España, disponible en nuestra biblioteca digital. (Solo para suscriptores).

Lea la segunda entrega de la serie aquí.

Traducción: J.L.F.