GDPR, cómo prepararnos para la implementación

El GDPR o RGPD es el nuevo reglamento general de protección de datos de la Unión Europea, reemplaza la Directiva de Protección de Datos 95/46/EC. Esta ley ha sido diseñado para equiparar las leyes de protección de datos en Europa.  Además de para proteger los derechos de los ciudadanos de la UE referentes al tratamiento de sus datos personales.

A pesar de que las sanciones por su incumplimiento podrán alcanzar hasta los 20 millones de euros, en torno al 56% de las empresas en España no cumplen este reglamento actualmente.

¿No estás seguro de si te afecta el GDPR?

Este reglamento aplica a organizaciones que almacenan o procesan datos sobre individuos residentes en la UE, que tengan presencia física en al menos algún país de esta.

Si es este tu caso deberías empezar a pensar en su cumplimiento. Te damos las claves para que te prepares para su cumplimiento e implementación.

1. Obligación de notificar un incidente de seguridad sobre los datos.

Los incidentes de seguridad sobre los datos personales deben ser notificados a la autoridad de control que corresponda en las 72 horas después de que se haya tenido constancia de ella.

La notificación incluirá:

• Descripción de la naturaleza del incidente e impacto.
• Número de interesados afectados y el número de registros.
• Nombre y datos de contacto del delegado de protección de datos.
• Descripción de las posibles consecuencias del incidente sobre los datos.
• Descripción de las medidas adoptadas o propuestas.

2. Obligación de la figura de delegado de protección de datos (DPO)

Las empresas están obligadas a designar un delegado de protección de datos cuando esta sea un organismo público o la actividad principal sea el tratamiento habitual y sistemática a gran escala de datos entre los que se incluyen los personales, o se traten datos relativos a condenas y delitos penales. En el Reglamento, no se define en profundidad de lo que realmente es gran escala y es un término relativo y ambiguo, que obliga a asignar un DPO a casi todas las empresas.

Las funciones de un delegado de protección de datos son:

• Informar y asesorar a los empleados, que se ocupen del tratamiento de datos, de sus obligaciones.
• Supervisar el cumplimiento del Reglamento, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
• Cooperar con la autoridad de control y actuar como punto de contacto de esta.

3. Principio de transparencia y consentimiento

El principio de transparencia exige que toda información y comunicación relativa al tratamiento de datos personales sea explícitos y legítimos, fácilmente accesible y fácil de entender por las personas físicas afectadas.

En esta comunicación debe quedar totalmente claro:

• Que se están recogiendo, utilizando, consultando y tratando datos personales, en particular, los fines, plazo de tratamiento, destinatarios, la lógica implícita en todo tratamiento automático y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento.
• Los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales.
• El modo de hacer valer sus derechos en relación con el tratamiento de datos personales.

4. Incentivo para la seudonimización

El foco de la GDPR son los datos relativos a una persona física identificable. Por consiguiente, el Reglamento no afecta a los datos de personas físicas no identificadas o identificables. Por este motivo la GDPR crea incentivos para que las empresas seudonimicen los datos que recopilan. La seudinimización es la separación de los datos de los identificadores que permiten identificar directamente las personas físicas.

La seudonimización, por lo tanto, puede reducir significativamente los riesgos asociados con el procesamiento de datos, al tiempo que mantiene la utilidad de estos. Aunque los datos seudónimos no están exentos del Reglamento en su totalidad, la GDPR relaja varios requisitos en los controladores que utilizan esta técnica.

5. Derechos en relación con el tratamiento de datos personales. Las empresas deben facilitar al interesado mecanismos para el ejercicio de sus derechos, entre los que se incluye:

• Derecho a solicitar y obtener de forma gratuita el acceso a sus datos personales.
• Derecho a rectificar y borrar los datos personales que le conciernen.
• Derecho al olvido, es decir, derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados o si el interesado ha retirado su consentimiento para el tratamiento.
• Derecho a no ser objeto de Perfilado. El interesado tiene derecho a no ser objeto de una decisión basada únicamente en un perfilado automatizado.
• El Perfilado es el tratamiento de los datos que ayudan a analizar, comparar y predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado.
• Derecho a la portabilidad de los datos personales, que exige a las empresas proporcionar los datos personales de los interesados en un formato comúnmente utilizado y de transferir estos datos a otra empresa si así lo solicitan.

Sanciones y otros problemas derivados del incumplimiento del GDPR

Si las empresas no cumplen con el Reglamento a partir de la fecha de aplicación, el 25 de mayo de 2018, se enfrentan a:

• Daños económicos directo o indirectos ocasionados por incidentes de seguridad provenientes del exterior o por los propios empleados y colaboradores.
• Daños de reputación producto de la notificación pública del incidente de seguridad.
• Pérdida de clientes actuales y potenciales cuando la empresa no puede demostrar que se encuentra en conformidad con la regulación.
• Riesgo de limitación o prohibición de procesamiento de datos que las DPAs pueden imponer, afectando la actividad normal de la empresa.
• Posible suspensión de los servicios a los clientes, con el consecuente abandono de estos o incluso posibles acciones legales de los clientes, por la limitación para procesar los datos.
• Indemnizaciones que en virtud del nuevo Reglamento ya que los interesados tienen derecho a reclamar en caso de infracción.
• Así como las costosas multas de administración que pueden alcanzar hasta 20.000.000€ o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Con el cumplimiento del Reglamento las empresas evitarán los problemas anteriores y ganarán la confianza de los consumidores y como tal una ventaja competitiva.

Mecanismo de certificación aprobado

Los legisladores han reconocido que para muchas empresas ser capaces de demostrar que se adhieren al GDPR será una ventaja. Para ello se está empezando a introducir los mecanismos de certificación de protección de datos y los sellos y marcas de protección de datos.

La GDPR habla incluso de la posibilidad de llegar a un sello europeo común de protección de datos, y aunque por ahora la GDPR proporciona escasos detalles es de esperar que este mecanismo para mostrar la adhesión se desarrollará en los próximos meses.

Muy poco tiempo y muchos cambios por hacer. Prepárate para la nueva ley

Si no está seguro de cómo le afecta este nuevo reglamento, desde ADMTOOLS hemos desarrollado un documento donde responderemos a las principales preguntas que se le presenten. No dude en contactar con nosotros. ¡Estaremos encantados de ayudarle!