El RGDP (también conocido por su sigla en inglés GDPR) supondrá grandes cambios para los contact center a la hora de tratar datos personales. Por ello, es de extrema importancia realizar una adaptación para cumplir con los requisitos del reglamento en el tiempo que resta hasta su aplicación.
En este sentido, José María Baños Pita, abogado y socio fundador de Letslaw, explica las principales actuaciones que toda empresa debe realizar antes de la aplicación del RGPD.
Obtener el consentimiento
El nuevo reglamento contempla que el consentimiento sea “inequívoco”. Esto implicaría que los usuarios han debido manifestar mediante una clara acción afirmativa su consentimiento para tratar sus datos personales . Además, es fundamental tener en consideración que, para los datos sensibles, la transferencia a terceros países que no cuenten con un nivel adecuado de protección de datos y los supuestos de toma de decisiones automatizadas mediante técnicas de profiling que tengan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar, será necesaria además la obtención del consentimiento explícito.
Al respecto, el requisito “explícito” supondrá además para el responsable del fichero (en este caso, nuestra empresa) una serie de esfuerzos adicionales para asegurar la identidad del usuario que presta su consentimiento. Tras su aplicación ya no serán válidos los consentimientos obtenidos de forma tácita, por lo que es recomendable no seguir obteniendo consentimientos por omisión y revisar esos tratamientos.
Encargados de tratamiento
Los contact center, por nuestra propia naturaleza empresarial, tratamos los datos de los clientes de otras empresas. Por esto, debemos tener especial cuidado, ya que asumimos la figura de encargados del tratamiento de los datos personales. Tendremos que asegurarnos de adoptar medidas apropiadas para tratar los datos de los usuarios y ofrecer garantías suficientes para aplicar medidas técnicas y organizativas apropiadas según los requisitos del RGPD .
Como novedad, en la nueva normativa se fija un contenido mínimo de los contratos de encargo más amplio que el actual, por lo que conviene adaptar y modificar los contratos de encargo del tratamiento con las empresas concluidos con anterioridad a su aplicación.
Medidas de responsabilidad activa
Según lo dispuesto en el nuevo RGPD , nuestra empresa deberá cumplir con el denominado principio de responsabilidad proactiva y realizar un enfoque del riesgo.
Análisis del riesgo
Nuestra empresa deberá valorar el riesgo de los tratamientos que realice, teniendo en cuenta, entre otras cuestiones, el tipo de tratamiento, la naturaleza de los datos o el número de interesados afectados, a fin de poder establecer qué medidas deben aplicar cómo deben hacerlo.
Medidas de seguridad
Solo a partir de los resultados del análisis de riesgos previo, se conocerá si las medidas de seguridad actuales son las adecuadas, si es que deben tomarse medidas adicionales o prescindir de alguna.
Evaluación de impacto
Cuando el análisis de riesgo sobre los tratamientos iniciados con anterioridad a la fecha de aplicación del RGPD revelen un alto riesgo para los derechos o libertades de nuestros usuarios, nuestra empresa deberá realizar una evaluación de impacto sobre esos tratamientos y adoptar las medidas necesarias para adaptar el tratamiento a sus exigencias.
Es importante mencionar que la Agencia Española de Protección de Datos y el grupo formado por la Comisión Europea para abordar este tema (conocido como el Grupo de Trabajo del artículo 29), a través de sus recomendaciones o interpretaciones, nos ayuda a desarrollar una política interna en nuestra empresa para la correcta implementación de las nuevas medidas que debemos adoptar en materia de protección de datos.
