El próximo 25 de mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos aprobado por la Unión Europea, GDPR por sus siglas en inglés.  Su aplicación afectará a todas las empresas, independientemente de su tamaño y sector de actividad, y su incumplimiento podría comportar sanciones de hasta 20 millones de euros, o el equivalente al 4% de la facturación de la compañía, en caso de que una filtración de datos personales no sea gestionada de forma adecuada.

Este nuevo marco normativo, aprobado por el Parlamento Europeo el 14 de abril de 2016,   busca proteger los datos personales y la forma en la que organizaciones y empresas hacen uso de ellos, los almacenan y los procesan. En este sentido, la normativa contempla una serie de medidas orientadas a controlar cómo las compañías pueden utilizar la información relacionada con los datos personales de los individuos, a quienes reconoce una serie de derechos concretos.

Con el objetivo de contribuir a ayudar a tu empresa a adaptarse al nuevo escenario que se plantea a partir de finales de mayo de 2018, te detallamos a continuación algunas de las principales novedades que introduce la normativa:

Aplicación territorial de la normativa:

 El nuevo reglamento, a diferencia de la anterior normativa que en estos casos   había demostrado ser muy ambigua, no es solo de aplicación para todas las empresas europeas, sino que también deberán ceñirse a él todas aquellas compañías internacionales que gestionen datos de individuos residentes en la Unión Europea. Por lo tanto, éstas deberán designar a un representante dentro de la UE.

Consentimiento expreso para el tratamiento de datos:

 Las condiciones para un correcto tratamiento de los datos por parte de las empresas se han reforzado, por lo que a partir de mayo de 2018 la petición de consentimiento para el tratamiento de los datos personales deberá presentarse de una forma sencilla y accesible y deberá ser de fácil entendimiento para el consumidor, con una especificación clara de los usos que se va a dar a esos datos. Asimismo, el nuevo GDPR establece que debe ser igual de fácil retirar el consentimiento del uso de datos como el concederlo.

 Informar de posibles brechas de seguridad:

Hasta ahora solo estaban obligadas a comunicarlas organizaciones como las empresas de telecomunicaciones o los bancos, pero ahora reportar cualquier brecha de seguridad que pueda suponer una vulneración de la privacidad de los usuarios va a ser de obligado cumplimiento para todas las compañías, sin importar su ámbito de actuación. En solo 72 horas, las compañías que tengan brechas deberán informar a las Autoridades de protección de datos y  a los afectados.

En este escenario, el email certificado se convierte en una herramienta efectiva y de bajo coste a la hora de poder acreditar el haber cumplido con esa obligación de informar, puesto que permite obtener una evidencia de las comunicaciones electrónicas enviadas.

La figura del DPO:

El Data Protection Officer se convierte en una figura de gran relevancia en el nuevo marco normativo y su labor consistirá en velar por el correcto cumplimiento de la normativa en su organización, aunque se contemplan diferentes supuestos:

–        Organizaciones e instituciones públicas, así como entidades con más de 250 trabajadores, deberán designar a una persona para que ocupe esta posición.

–        En entidades con menos de 250 empleados, será obligatorio el DPO cuando requieran un seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten datos catalogados de especialmente protegidos.

 

 

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>