Aunque la GDPR fue aprobada en 2016, no entrará en vigor hasta el 25 de mayo de 2018. A partir de entonces, todas las empresas que utilicen datos personales de ciudadanos de la UE estarán obligadas a cumplirla.
.@ProdwareES explica cómo garantizar a protección de datos personales mediante el cumplimiento de la #GDPR Clic para tuitear
Llega el momento de proteger los datos
El próximo mes de mayo puede parecer todavía lejano, pero el tiempo sigue corriendo para todas las empresas que tienen que adaptarse a GDPR, que son la mayoría, y la envergadura del proyecto requiere altas dosis de planificación y anticipación. Muchos ya estarán inmersos en la implantación de los proyectos de cumplimiento, mientras que otras seguirán retrasando el momento de la verdad. Para unas y otras, es recomendable empezar a sembrar las primeras semillas para que estas germinen antes de la entrada en vigor del GDPR.
La mayoría de las organizaciones ya habrán tenido un primer contacto con la Regulación General de Protección de Datos, también conocida como RGPD o GDPR (por sus siglas en inglés). La nueva normativa europea sobre protección de datos personales incorpora nuevas obligaciones para las empresas a la hora de gestionar los datos personales que hasta ahora estaban reguladas por la Ley Orgánica de Protección de Datos de España (LOPD), vigente desde el año 2000.
Aunque la RGPD fue aprobada en 2016, no entrará en vigor hasta el 25 de mayo de 2018. A partir de entonces, todas las empresas que utilicen datos personales de ciudadanos de la Unión Europea estarán obligadas a cumplirla. La RGPD introduce obligaciones más estrictas en lo referente al consentimiento, limita la transferencia de datos fuera de la UE, obliga a notificar accesos indebidos a los datos e incorpora los derechos de supresión, olvido y portabilidad de datos.
Cambios para adaptarse a la GDPR
Adaptarse a GDPR supondrá un esfuerzo considerable para las empresas y, por eso, conviene empezar cuanto antes. Durante los próximos meses las empresas deberán implementar los cambios necesarios para ajustarse a todos estos cambios si no quieren exponerse a las sanciones administrativas. Su vulneración conllevará importantes multas que irán desde los 10 millones de euros o el 2% de facturación para una falta leve a los 20 millones de euros o el 4% de facturación para faltas graves.
Aunque estas cifras pueden poner en riesgo el futuro de aquellas compañías que incumplan la ley, muchas empresas aún desconocen el alcance real de la legislación. Por ejemplo, ignoran a qué se refiere la ley cuando habla de datos personales -toda la información sobre una persona física identificada o identificable- o del consentimiento –debe ser otorgado de manera expresa, libre, inequívoca e informada por el usuario, mientras que la empresa ha de solicitarlo de manera clara y diferenciada de otras condiciones e indicar todos los tratamientos que va a realizar con ellos.
Existen otros conceptos básicos a la hora de conocer las principales responsabilidades de las empresas y cómo afrontarlas. Uno de los más relevantes es el principio de responsabilidad proactiva, que requiere a las organizaciones analizar qué datos tratan, con qué finalidad y cómo lo hacen. Asimismo, deben mantener un registro (interno) de todos los datos y el tratamiento que se realiza sobre los mismos. Los organismos supervisores pueden solicitar a un responsable de datos, en cualquier momento, que demuestre que está cumpliendo la normativa. Sustituye la declaración constante de ficheros de datos a las administraciones.
Una nueva figura protectora
Una figura importante que introduce la nueva ley es el Delegado de Protección de Datos o Data Protection Officer (DPO), obligatorio en organismos públicos y en organizaciones que traten datos a gran escala o especialmente sensibles. Se trata de un perfil con conocimientos legales e informáticos que asesorará y supervisará el tratamiento de datos y cooperará con la autoridad de control. Junto al DPO destaca el concepto de enfoque de riesgo, ya no basta con que cumplir la ley, las empresas también tienen ser conscientes de los riesgos externos. Los sistemas deben garantizar la seguridad de los datos y, si se produce un acceso indebido (hackeo, filtración, etc.), debe informarse al organismo supervisor antes de 72 horas.
Aunque el esfuerzo será considerable para las empresas, la entrada en vigor del RGPD no debe verse como una imposición sin ningún tipo de retorno para la compañía. Por el contrario, supone una excelente oportunidad para avanzar en la transformación digital, mejorar los procesos de tratamiento de datos e incrementar la agilidad y eficiencia de la organización. Además, aportará transparencia a la gestión de la empresa, sin duda, un intangible cada vez más valorado por los clientes, que sentirán que pueden confiar en la compañía porque hacen un uso correcto de sus datos.
