proteccion de datos empresas
Tiempo de lectura: 6 minutos

A partir del 25 de mayo, entrará en vigor el nuevo Reglamento General de Protección de Datos. Empresas y organizaciones de todo tipo, tanto públicas como privadas, se enfrentarán de esta manera a importantes retos para poder cumplir con los nuevos requisitos en materia de tratamiento de los datos personales de sus usuarios y clientes.

Protección de datos: ¿a qué empresas afecta?

La principal novedad es que serán sujetas a la nueva norma también organizaciones ubicadas fuera de la UE, si procesan y mantienen los datos personales de usuarios que residen en la Unión. Estas organizaciones se verán obligadas a nombrar un representante en la Unión Europea, que actuará como punto de contacto con las autoridades de control y con los ciudadanos de los diferentes Estados miembros.

Por otra parte, el reglamento aplica a cualquier organización que lleve a cabo un tratamiento de datos personales. En este sentido, la primera diferencia que nos encontramos con respecto a la norma anterior, es una ampliación del concepto de datos personales, que ahora incluirá también identificadores en línea (como las direcciones IP), además de categorías ya previstas anteriormente, como información económica, cultural, social, psíquica, genética, que puede identificar a las personas.

La diferencia principal: el consentimiento

Sin embargo, la principal diferencia de la norma reside en la nueva manera en que se entiende el consentimiento de los usuarios al tratamiento de sus datos, que necesita ahora ser “no ambiguo” y “explícito”. Esto quiere decir, en primer lugar, que las empresas deberán simplificar los textos explicativos utilizando un lenguaje claro y sencillo, evitando la jerga legal. Por otro lado, ya no se podrán utilizar casillas marcadas por defecto o basar la aceptación en la inacción del usuario. También se deberá solicitar el consentimiento para cada finalidad del tratamiento, si existen varias.

En este sentido, todos los consentimientos al tratamiento de los datos personales que hayan sido obtenidos con antelación pero que no cumplen con el reglamento, no se considerarán válidos. Esto implica que las empresas deberán modificar sus procesos para la obtención del consentimiento para los nuevos clientes, y, al mismo tiempo, volver a solicitar el consentimiento a todos sus usuarios de forma correcta.

La transparencia, otra obligación fundamental

Sabemos que los incidentes de seguridad relacionados con los datos pueden ocurrir en cualquier momento. Lo que ahora cada organización deberá tener en cuenta, además de reaccionar rápidamente frente al incidente, es que dispondrá de un límite de 72 horas – salvo casos especiales – para notificar cualquier violación de datos personales a las autoridades nacionales de control y a las personas afectadas. De esta manera, las empresas estarán obligadas por ley a ser transparentes frente a sus clientes, lo que introduce un reto muy importante, teniendo en cuenta lo perjudicial que puede ser un incidente de seguridad mal gestionado para la reputación y el valor de la marca.

El derecho al acceso y a la portabilidad de los datos personales

Los datos personales pertenecen a los usuarios, y en esto el nuevo reglamento es muy firme. Cada persona tendrá el derecho a la recuperación de sus datos personales en un “formato estructurado, de uso común, de lectura mecánica e interoperable” para transmitirlos a otro responsable del tratamiento, también de forma automática, si técnicamente posible. Además, los usuarios podrán solicitar en cualquier momento confirmación sobre el procesamiento de sus datos personales y su finalidad, además de poder obtener sin coste una copia de los mismos.

La protección de datos desde el diseño y por defecto

Otro gran reto para las organización es representado por el gran esfuerzo que las organizaciones tendrán que llevar a cabo para cumplir con los principios de protección de datos desde el diseño y por defecto. Adecuarse a estos principios supone llevar a cabo un rediseño de los productos y servicios teniendo en cuenta el derecho a la protección de datos para, por ejemplo, reducir al máximo el tratamiento de datos personales, o la  seudonimización de los mismos.

Una nueva figura: el Delegado de Protección de Datos

El nuevo reglamento introduce la figura del Delegado de Protección de Datos, el responsable de informar y asesorar a todos los empleados de la organización sobre las obligaciones a que están sujetos por la normativa, además de supervisar su cumplimiento y actuar como punto de contacto con la autoridad competente. El Delegado de Protección de Datos deberá gozar de cierta independencia, estando obligado a rendir cuenta únicamente a la alta dirección.

Sin embargo, esta nueva figura no será necesaria en el caso de que nuestra organización no sea pública, que el tratamiento que llevamos a cabo no requiera una observación habitual y sistemática a gran escala de los usuarios, o que no estemos tratando a categorías especiales de datos personales, como los relacionados con la salud o las creencias religiosas y políticas.

¿Estamos preparados?

El reglamento previó un período transitorio de dos años para que las organizaciones se pudieran adecuar. Sin embargo, una investigación de IDC puso en evidencia que, a febrero de 2018, el 65% de las empresas españolas todavía no podía garantizar su cumplimiento. Este dato es alarmante, sobre todo considerando las fuertes sanciones que se aplicarán las organizaciones que no cumplan, y que pueden llegar hasta al 4% de su facturación global anual, o a 20 millones de euros. Es importante subrayar que estas sanciones aplicarán tanto a los responsables del tratamiento como a los encargados, lo que obliga al cumplimiento del GDPR a los proveedores de servicios cloud.

Los 6 pasos para cumplir con el GDPR

Cumplir con el GDPR no es sencillo ni rápido. Para ello, la Agencia Española de Protección de Datos, ha puesto a disposición de las organizaciones una gran cantidad de recursos, manuales y guías, así como una práctica hoja de ruta en seis pasos, para aquellas empresas privadas que necesitan adaptarse al reglamento:

  1. Designar el Delegado de Protección de Datos, si estamos obligado a ello, o, en caso contrario, identificar en nuestra organización a las personas responsables de coordinar la adaptación.
  2. Elaborar un registro de todas las actividades de tratamiento que llevamos a cabo.
  3. Realizar una análisis de riesgos, que incluya actividades para identificar, evaluar y mitigar el riesgo.
  4. Revisar nuestras medidas de seguridad a la luz de los resultados del análisis de riesgos
  5. Establecer aquellos mecanismos y procesos para la notificación de los incidentes de seguridad y violaciones de datos personales.
  6. Si la análisis de riesgos lo motiva, llevar a cabo una Evaluación de Impacto en la Protección de Datos (EIPD), para evaluar los potenciales riesgos a los que están expuestos los datos personales según las actividades de tratamiento que llevamos a cabo.

Hemos visto un resumen de lo que implica cumplir con el nuevo Reglamento General de Protección de Datos. Sin embargo, las empresas españolas deberán también tener en cuenta su transposición en la normativa española, que se está tramitando ahora mismo en el Parlamento y que se materializará en una nueva Ley Orgánica de Protección de Datos de Carácter Personal. La nueva Ley definirá mejor los distintos aspectos del Reglamento, facilitando su cumplimiento.