Se hace imprescindible conocer desde ya las principales novedades introducidas y como afectan estas a la actividad propia del Concesionario y a su relación con la Marca y otras Empresas del Grupo.
Ante la entrada en vigor del nuevo reglamento RGPD desde Acoford te ofrecemos nuestro asesoramiento para evitar riesgos. Hemos avanzado en cuatro lineas de trabajo:
1. Con Ford España. Hemos depurado los anexos legales que sustentan la política de privacidad de la red con sus clientes; hemos desarrollado dos clausuras de consentimiento (una para los clientes efectivos y otra para los potenciales); hemos propuesto a Ford que se cree la “ficha de cliente” que permite recoger en un documento todos los consentimientos del cliente y facilitar mucho el proceso administrativo, sin generar más trabas al personal del concesionario; hemos decidido que cada concesionario designe un Coordinador de Seguridad de Datos, puesto que no supone ningún coste para el concesionario, pero facilita muchísimo la implantación de los cambios.
2. Documentación. Propuestas de documentos para que la Red los adapten a su realidad concreta:
– Email para captación de consentimientos_clientes FORD
– Email para captación de consentimientos_clientes NO FORD
– Politica de privacidad de los concesionarios para clientes no Ford
– Politica de privacidad para las webs de los concesionarios.
3. Formación. Además hemos fijado un plan de formación para los Coordinadores de protección de datos de la Red que Ford va a obligar a designar en cada concesionario.
4. Seguro. Para reducir al máximo las posibilidades de una sanción en el futuro, hemos creado un sistema de formación digital para empleados de los concesionarios que minimiza las sanciones de la AEPD. Por otro lado, de la mano de Apemar, ofrecemos a los concesionarios Ford un servicio de adaptación intensiva in situ, por el que un consultor se desplaza al concesionario y en una jornada y media, ayuda a todos los departamentos interesados a adaptarse a esta nueva legislación.
A continuación, señalamos a grandes rasgos los pasos a seguir para garantizar que tu Concesionario cumpla con la legislación vigente. La aplicación efectiva del RGPD muy probablemente requiera del asesoramiento de un experto en la materia. Esta guía sólo tiene valor informativo.
¿Debo actualizar textos legales y clausulas informativas?Las nuevas exigencias en cuanto a la transparencia del tratamiento obligan a revisar el contenido de las cláusulas informativas que se empleaban hasta ahora para informar y recabar el consentimiento expreso de las personas afectadas.
Recientemente se ha remitido a la Red por parte de Ford España, S.L., el nuevo Anexo 6 al Contrato de Concesión (que incluye las nuevas clausulas informativas para clientes, potenciales clientes y empleados de la Concesión). Ha sido discutido y acordado para la totalidad de Europa, con EFDA (European Ford Dealer Association) sin perjuicio de que, a nivel local, ha sido igualmente revisado y acordado con Acoford. Asimismo, se ha modificado el Anexo 5 del Contrato de Colaboración para la venta de productos Ford.
¿Qué medidas debe adoptar el concesionario en su organización? La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción por parte del Concesionario de medidas técnicas (contraseñas, copias de seguridad, cifrado de ficheros, protección del correo electrónico, cortafuegos, antivirus, etc.) y organizativas (concienciación, formación, política de copias de seguridad, etc.) apropiadas, con el fin de garantizar el cumplimiento de los requisitos del RGPD.
¿Qué es el registro de actividades de tratamiento?Para demostrar la conformidad con el RGPD, el Concesionario debe mantener registro de las actividades de tratamiento realizadas bajo su responsabilidad y está obligado a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.
El contenido de los registros de tratamientos ahora exigidos se asemeja mucho al contenido de los ficheros que la Concesión debe de tener actualmente inscritos en el Registro General de la Agencia Española de Protección de Datos.
¿Debo realizar un análisis de riesgos?Actividades y tareas que el Concesionario debe poner en marcha para controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyan la identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación. Las amenazas se pueden categorizar principalmente en tres tipos: confidencialidad, integridad y disponibilidad de los datos.
¿Es legítimo tratar datos de mis clientes?Para que el tratamiento de datos personales realizado por el Concesionario sea lícito, estos deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho. Básicamente, si el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos, si es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales y, si es necesario para el cumplimiento de una obligación legal aplicable al Concesionario.
¿Qué debo informar a los clientes?El Concesionario está obligado a informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos. Dicha información deberá ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos o verbalmente. La información facilitada, así como toda comunicación será a título gratuito.
¿Qué otros derechos de los clientes debemos tener en cuenta?El Concesionario está obligado a facilitar a los interesados el ejercicio de sus derechos, salvo que pueda demostrar que no está en condiciones de identificar al interesado. Recordamos cuales son los derechos de los interesados a los que debemos de estar especialmente atentos: acceso, rectificación, supresión (el derecho al olvido), limitación del tratamiento, portabilidad de los datos, oposición y a no ser objeto de una elaboración de perfiles.
Con carácter general, el plazo de respuesta por parte del Concesionario para atender los derechos anteriormente mencionados es de un mes.
¿Tenemos encargados de tratamiento?¿Cómo actuar con ellos?Cuando un proveedor del Concesionario esté autorizado a acceder a las bases de datos de este para prestarle un servicio, se convierte en un encargado del tratamiento. El Concesionario elegirá únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas.
El tratamiento por el encargado del tratamiento (proveedor) se regirá por un contrato, que vincule al encargado respecto del Concesionario responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del Concesionario.
Este momento de transición debería de aprovecharse para llevar a cabo dos acciones paralelas. En primer lugar, abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, para adaptarlos al RGPD y, en segundo lugar, comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el RGPD considera necesarios.
Cooperación con la Autoridad de controlEl Concesionario cooperará con la autoridad de control (Agencia Española de Protección de Datos, Autoridad Catalana de Protección de Datos y Agencia Vasca de Protección de Datos) que lo solicite en el desempeño de sus funciones.
¿Qué hago si sufro una violación de la seguridad de los datos personales?En caso de violación de la seguridad de los datos personales, el Concesionario la notificará a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
¿Debo informar de una violación de seguridad a los interesados?Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el Concesionario la comunicará al interesado sin dilación indebida.
¿Cómo organizar a mis trabajadores relacionados con los datos? El Concesionario garantizará que los trabajadores autorizados para tratar datos personales en la organización se hayan comprometido a respetar la confidencialidad mediante un acuerdo de confidencialidad o una obligación legal de confidencialidad. Por ello, Acoford ha puesto en marcha un servicio online de formación para todos los empelados del concesionario que le permitirá demostrar a la Agencia que se ha hecho todo lo posible para que los empelados de la Concesión entiendan y gestionen los datos de manera óptima.
¿Debo nombrar un Coordinador de protección de datos? Si. Ford España ha decidido que la mejor manera de que los concesionarios de adapten a la nueva realidad legal y evitarles riegos futuros, es que en cada concesión haya una persona encargada de todos estos temas. Su nombramiento no exige ningún coste para el concesionario, ni implica ninguna responsabilidad legal para el elegido.
¿Cómo puedo formar a mi coordinador de protección de datos?Para poder cumplir de manera efectiva con las obligaciones derivadas del RGPD, se hace necesario establecer un programa de formación para todo el personal de la Concesión que intervenga en el tratamiento de datos de carácter personal y, en especial, para las personas que tengan atribuidas responsabilidades en la materia. En esta línea, Acoford plantea un completo programa de formación presencial dirigido a los coordinadores de protección de datos.
A continuación, puedes encontrar una guía rápida sobre los cumplimientos que hay que seguir respecto a los trabajadores, ficheros de datos y documentación:
