¿Cumple tu empresa con la nueva normativa europea en materia de protección de datos? El 25 de mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos que, de no cumplirse, puede ocasionar sanciones graves. Te contamos en qué consiste este nuevo Reglamento de Protección de Datos y cómo afrontarlo.
¿Por qué un nuevo Reglamento Europeo de Protección de Datos?
Aprobado en 2016, y tras un período de 2 años para que las empresas pudieran ponerse al día en cuanto a protección de datos antes de su ejecución, será el próximo 25 de mayo de 2018 cuando tenga efecto el nuevo Reglamento de Protección de Datos.
Este nuevo Reglamento surge ante la necesidad de:
- Un mayor poder a los interesados y mayor seguridad en la protección de datos.
- Modernización de la anterior ante nuevos entornos digitales.
- Y como fusión de las distintas regulaciones de los estados miembros de la Unión Europea, por encima de las particularidades de cada país.
Objetivos de la RGPD
Los objetivos que busca conseguir la ley de protección de datos son:
- Protección de Datos Personales: La RGPD tiene como objetivo principal proteger los derechos y la privacidad de los individuos en lo que respecta al procesamiento de sus datos personales.
- Control del Individuo sobre sus Datos: La normativa busca empoderar a las personas dándoles más control sobre sus datos personales. Esto incluye el consentimiento claro y explícito para el procesamiento de datos, así como el derecho a acceder, corregir y eliminar sus datos.
- Transparencia en el Procesamiento de Datos: Las organizaciones deben ser transparentes sobre cómo recopilan, procesan y utilizan los datos personales. Esto incluye proporcionar información clara sobre la finalidad del procesamiento y el período de retención de datos.
- Responsabilidad de las Organizaciones: Las empresas y organizaciones son responsables de garantizar que el procesamiento de datos personales cumpla con los principios de la RGPD. Esto implica implementar medidas de seguridad adecuadas y notificar a las autoridades competentes en caso de brechas de seguridad.
- Derecho al Olvido: Los individuos tienen el derecho de solicitar la eliminación de sus datos personales cuando ya no son necesarios para los fines para los cuales fueron recopilados, o cuando se retira el consentimiento.
- Notificación de Brechas de Seguridad: Las organizaciones están obligadas a informar a las autoridades y a los individuos afectados en caso de una violación de seguridad que pueda poner en riesgo sus datos personales.
- Transferencia Internacional de Datos: La RGPD establece reglas para la transferencia de datos personales fuera de la Unión Europea, garantizando que se cumplan estándares de protección similares.
Quién está obligado a su cumplimiento
La Reglamentación General de Protección de Datos (RGPD) se aplica a cualquier organización, ya sea una empresa, entidad gubernamental, u otra entidad, que procese datos personales de individuos en la Unión Europea (UE). La extraterritorialidad de la RGPD significa que no solo se aplica a organizaciones establecidas en la UE, sino también a aquellas fuera de la UE que procesan datos de personas dentro de la UE en relación con la oferta de bienes o servicios, o el monitoreo del comportamiento de estos individuos.
En resumen, la RGPD es de cumplimiento obligatorio para:
- Empresas Establecidas en la UE: Todas las empresas y organizaciones establecidas en la Unión Europea están obligadas a cumplir con la RGPD en el procesamiento de datos personales.
- Empresas Fuera de la UE que Procesan Datos de Residentes de la UE: Si una empresa u organización fuera de la UE procesa datos personales de individuos que se encuentran en la UE, ya sea ofreciendo bienes o servicios a estos individuos o monitoreando su comportamiento, también está sujeta a la RGPD.
Es importante destacar que el cumplimiento de la RGPD es responsabilidad de las organizaciones que manejan datos personales, y las sanciones por incumplimiento pueden ser significativas. Las autoridades de protección de datos de cada país miembro de la UE son responsables de hacer cumplir la legislación en sus respectivas jurisdicciones.
Novedades del nuevo Reglamento de Protección de Datos
El Reglamento General de Protección de Datos (RGPD) define la normativa que regula la protección de datos personales y su circulación.
En España, se trabaja sobre la actual Ley Orgánica de Protección de Datos (LOPD) para su ajuste a este nuevo Reglamento.
Entre las novedades más destacables, señalamos:
- El nuevo RGPD será aplicable para todas las empresas de la Unión Europea, autónomos, entes públicos y cualquier profesional que por su actividad trate con datos personales.
- Se solicitará al usuario únicamente aquellos datos necesarios para la prestación del producto o servicio, y así evitar un consentimiento más amplio cuando se firma, que deberá ser una confirmación clara y verificable. A su vez, se expondrán las cláusulas informativas de manera más accesible.
- La obligación de contar con un delegado de protección de datos encargado de informar y vigilar por su cumplimiento. Esto alcanza a organismos públicos, entidades que requieran una observación habitual y sistemática de interesados a gran escala o cuyas actividades principales conlleven el tratamiento a gran escala de categorías especiales de datos personales.
- Toda empresa que viole la seguridad de datos, tendrá la obligación de informar a la Agencia en 72 horas. También deberá informar a los interesados, salvo algunas excepciones, que de suponer un esfuerzo desproporcionado, se podrá hacer mediante comunicación pública.
- Incorporación del derecho al olvido y derecho a la portabilidad, referido a la mayor capacidad de decisión y control de los datos personales del usuario ante terceros, ya sea bajo solicitud de su eliminación y/o transferencia de los mismos.
- Se deberá ofrecer una lista de información a proporcionar al usuario más amplia que la anterior LOPD, añadiéndose a la misma base jurídica del tratamiento, posibles transferencias, datos del delegado de protección de datos y elaboración de perfiles.
- Limitación en la recogida de datos por parte de la empresa al mínimo necesario, así como en tiempo, dejando de poder utilizarlos una vez finalizado el servicio como ya ocurre con la LOPD 1999.
- Resultará necesaria la realización de un análisis de riesgo por parte del Responsable del Tratamiento, con el fin de determinar si, como indica el RGPD en su artículo 35.1, un tipo de tratamiento pueda entrañar un alto riesgo (y por tanto la necesidad de llevar a cabo la Evaluación de Impacto, EIPD), en base a operaciones que:
- Impliquen el uso de nuevas tecnologías.
- Sean de una nueva clase, novedosa para el Responsable del Tratamiento.
- Impliquen operaciones de tratamiento a gran escala que persigan tratar una cantidad considerable de datos a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados; con un alto nivel de riesgo.
La protección de datos, un nuevo escenario para los negocios
Estas novedades reflejan que tanto empresas como profesionales pueden encontrar en este nuevo reglamento oportunidades más específicas de negocio, ya que las nuevas cláusulas dan respuesta a las nuevas exigencias de los entornos y mercados digitales. Así, se consigue ampliar la protección de los derechos de los interesados e incorpora nuevas obligaciones legales.
Algunos de los ejemplos más llamativos son las mayores exigencias de información, la responsabilidad proactiva del responsable; y, en determinados casos, las obligaciones de nombramiento del delegado de protección de datos, realización de análisis de riesgo y evaluación de impacto y notificación de violaciones de la seguridad de los datos. Todo ello dará lugar, irremediablemente, a nuevas oportunidades de negocio para las empresas relacionadas con la actualización y mantenimiento de la nueva normativa.
A su vez, la implantación de este nuevo RGPD permite que se reduzcan de manera considerable tanto la burocracia como las cargas administrativas que hasta entonces han sido necesarias. La unificación de toda la normativa europea consigue que las nuevas reglas se apliquen en todo el territorio -y, por tanto, en todas las empresas- de manera uniforme y coherente.
Pero, ¿qué ocurre si una empresa no cumple del todo con la LOPD?
Se busca que las empresas (y usuarios) se lo tomen muy en serio y por eso mismo, como muestra, la aplicación de un nuevo régimen sancionador más exigente que, de detectar incumplimiento por parte de la empresa, tendrá efecto en pocas semanas y con sanciones de hasta 20 millones de euros.
Así es, una sanción que puede afectar gran parte de tu negocio. Y sí, quizás sea hora de replantearse si contar con un programa para protección de datos y asegurar tu supervivencia.
Cómo gestionar correctamente la Protección de Datos de mi empresa
Desde Microdata velamos por el cumplimiento del Reglamento de Protección de Datos de 2018 y por los venideros. Por ello, para saber cómo afrontarla, ponemos a tu disposición nuestro software para la gestión de protección de datos MsDatos, que facilita su cumplimiento, implantación y gestión de las obligaciones impuestas por el mismo.
¿Preparado para adaptar tu empresa a la nueva Ley de Protección de Datos?
Contáctanos y te asesoraremos sobre cómo proceder a tiempo.