La protección de datos ya no es solo cosa de grandes empresas o tecnológicas. Las pequeñas y medianas empresas también tienen que ponerse al día. Por eso, este artículo lo dedicamos a la protección de datos y GDPR para pequeñas empresas.
Desde que el Reglamento General de Protección de Datos (más conocido como GDPR) entró en vigor en 2018, todas las empresas que manejan datos personales en la Unión Europea, están obligadas a cumplir con esta normativa. Y Reino Unido tampoco se libra de esa obligación, gracias a la versión británica conocida como UK GDPR.
Aunque el tema puede parecer intimidante, en realidad no es tan complicado como parece. Aquí te explicamos todo lo que una pequeña empresa necesita saber para estar en regla con la protección de datos y evitar o sustos.
¿Qué es el GDPR y por qué debería importarte?
El GDPR es una ley redactada por la UE diseñada para dar a las personas un mayor control y protección sobre sus datos personales. Básicamente, regula cómo las empresas deben recopilar, almacenar y utilizar esos datos.
Para las pequeñas empresas implica, por ejemplo, no poder pedirle simplemente a un cliente datos como su correo electrónico o teléfono sin su consentimiento o sin razón motivada.
La versión británica del GDPR, mantiene las mismas reglas básicas tras el Brexit, así que si operas en Reino Unido o tratas con clientes británicos, también te afecta este reglamento.
Lo que cuenta como dato personal
Dato personal es un término más amplio de lo que en un principio puede parecer. Aquí se incluyen nombres, apellidos, direcciones de correo electrónico, números de teléfono, tarjetas bancarias, datos de ubicación o relacionadas con las IPs.
Por ejemplo, si tienes una tienda online, guardas correos electrónicos para el reenvío de newsletters o almacenas datos de clientes en una hoja de Excel, estás manejando datos personales.
Qué tienen que tener en cuenta las empresas pequeñas
Es esencial que tengas siempre en cuenta unos detalles muy importantes. En primer lugar, recoge solo los datos necesarios o, lo que es lo mismo, no pidas información que no necesitas.
En segundo lugar, informa a todo el mundo de forma clara acerca de los derechos en relación a la protección de datos. Tus clientes deben saber qué datos estás recopilando, por qué, durante cuánto tiempo y con quién los compartes. Y esa información debe de estar accesible de un modo u otro.
Es vital que los clientes firmen o acepten un consentimiento explícito, así que no ofrezcas casillas premarcadas y anima al cliente a que se informe.
Asegúrate de que los datos estén guardados de forma segura. Es decir, protégelos. Establece contraseñas robustas, antivirus actualizados y haz copias de seguridad con regularidad. Los clientes tienen derecho a acceder a sus datos, corregirlos, eliminarlos y oponerse a su uso. Y tú debes facilitar ese proceso.
Lista de correos
Es uno de los puntos más sensibles. Esto se da si sueles enviar newsletters o emails promocionales. Si es el caso, asegúrate de haber recibido consentimiento verificable y de incluir una opción clara para darse de baja del servicio en cada email. Y, por supuesto, no compres listas de correos de terceros, ya que es ilegal según el GDPR.
Posibles sanciones
Las pequeñas empresas no escapan del radar del GDPR, a quien no se le suele escapar nadie que infrinja el reglamento. Las sanciones que aplican pueden alcanzar los 20 millones de euros en algunos casos o el 4% de la facturación anual.
Conclusión sobre la protección de datos GDPR para pequeñas empresas
Cumplir con el GDPR puede parecer complicado, pero una vez que entiendes los principios básicos, se vuelve mucho más manejable. Piensa en ello como una oportunidad para construir una relación de confianza con tus clientes. Al demostrar que te tomas en serio su privacidad, también refuerzas la imagen de tu marca.
Así que, si eres una pequeña empresa en Reino Unido, no dejes la protección de datos para más tarde. El momento de actuar es ahora.