Claves para afrontar el nuevo Reglamento de Protección de Datos de la UE

Este sábado se celebra el Día Internacional de la Protección de Datos Personales. Aprovechando la marcada fecha, repasamos las recomendaciones que las compañías deben seguir para adoptar el nuevo Reglamento General de Protección de Datos, que será de obligado cumplimiento a partir del 25 de mayo del próximo año.

No hay comentarios

Falta apenas un año para que el nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en ingles) se haga de obligado cumplimiento (25 de mayo de 2018). La normativa, que tiene como principal efecto ser de directa aplicación en toda Europa, supondrá la derogación de la Directiva 95/46/CE, hasta ahora vigente.

Entre las modificaciones que incluye esta nueva ley europea, y a la que tendrán que adaptarse todas las compañías que operen en el viejo continente destaca la regulación de dos nuevos derechos, el denominado “derecho al olvido”, como efectivo derecho de supresión de información, y la portabilidad de daos. El Reglamento en sí busca proteger los derechos y libertades de las personas físicas, sobre todo, su derecho a la protección de datos personales, indistintamente sean procesados por entidades privadas o públicas.

Para Ricardo Maté, director general de Sopho Iberia, aunque pueda parecer que las compañías aún tienen mucho tiempo por delante antes de que la normativa se vuelva de obligado cumplimiento, “la privacidad no se implementa en un día, lleva tiempo establecer los procesos y la mentalidad correcta en toda la organización”.

La nueva regla habla además de la necesidad de “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus propios datos personales; y del derecho de los ciudadanos europeos a ser informados si sus datos personales han sido pirateados. A partir del 25 de mayo del próximo año, las compañías tienen la obligación de designar en ciertos caos a un “delegado de protección de datos” (DPO, por sus siglas en inglés), que garantice el cumplimiento de la nueva normativa.

El GDPR incluye una directiva sobre transmisión de datos para cuestiones judiciales y policiales. Se aplicará al intercambio de datos transfronterizos dentro de la UE y establecerá estándares mínimos para el tratamiento de datos de cada país. La intención pasa por proteger a las personas implicadas en investigaciones policiales o procesos judiciales, “mediante la clarificación de sus derechos y el establecimiento de límites en la transmisión de datos para prevención, investigación, detección y enjuiciamiento de delitos o la imposición de penas”, informó el Parlamento Europeo.

Otra novedad consiste en que la medida se aplicará al procesamiento de datos de europeos por entidades que están establecidas en Europa, pero también por empresas que están fuera de la Unión Europea pero que realizan actividades dentro del continente que implican el tratamiento de datos personales, aunque no tengan presencia física en el territorio.

El nuevo reglamento de protección de datos prevé sanciones de hasta 20 millones de euros, ya que impondrá multas de hasta el 4% de la facturación global de las empresas en casi de infracción. “Hasta la fecha, muchas empresas han quedado impunes cuando han perdido información de sus empleados o clientes, pero la nueva legislación da poder a las autoridades para imponer serias sanciones económicas, que podrían tener graves consecuencias para un empresa pequeña, pudiendo llegar incluso a desaparecer. Es muy posible que las empresas más perjudicadas con la entrada a vigor de esta normativa en 2018 sean precisamente las pymes”, añade Mate.

Los expertos de Acens  ofrecen las claves que las empresas españolas y extranjeras deben tener en cuenta a la hora de adaptar el GDRP:

  1. Acreditar el cumplimiento mediante un Sistema de Gestión de Seguridad: Para garantizar el cumplimiento continuo de los requisitos del nuevo reglamento es altamente recomendable adoptar un sistema de gestión siguiendo el esquema de los estándares internacionales como ISO 27001.
  2. Considerar la privacidad de forma previa a cualquier tratamiento de datos: Considerar la privacidad como un elemento esencial de forma previa a cualquier tratamiento de datos será algo que las organizaciones deberán incorporar como cultura de empresas realizando análisis previos incluso de impacto.
  3. Consultar a la autoridad de control si el impacto es alto: En el caso que la evaluación del impacto entrañe un alto riesgo se deberá consultar a la autoridad de control, la Agencia de Protección de Datos en el caso español.
  4. Incorporar nuevos perfiles como el DPO: Será necesario contar con nuevos perfiles profesionales y surge una nueva figura con más autonomía e independencia que el responsable de seguridad: el Delegado de Protección de Datos.
  5. Conocer la obligación de notificar incidencias: La notificación de incidentes de seguridad a la autoridad competente ya existía para ciertos proveedores de servicio, pero ahora se amplía siendo de ámbito global para todas las compañías.
  6. Incorporar medidas de seguridad como la seudonimización y el cifrado: El fin es garantizar la confidencialidad, disponibilidad y acceso a los datos, así como la capacidad del sistema capacidad de soportar datos y recuperarse ante incidentes.
  7. Confirmar la garantía de los proveedores de tecnología: Las autoridades competentes comprobarán en sus auditorías si se han tenido en cuenta la privacidad y protección de datos en la selección de proveedores.

info_acens



Suscríbase a nuestro newsletter

El boletín electrónico de Dirigentes Digital le permite recibir en su buzón de correo toda nuestra información siempre actualizada.