¿Qué es y cómo afecta el RGPD?
El RGPD es la norma que afecta por igual a las grandes corporaciones y a las micropymes muchas de ellas muy activas en el uso de datos, el nuevo reglamento general de protección de datos entró en vigor en mayo de 2016, será de aplicación obligatoria para todas las empresas de la Unión Europea a partir del 25 de mayo de 2018, y otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo.
El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y a cómo quieren recibir información de las empresas.
Las condiciones necesarias para el tratamiento de datos personales se han endurecido, respecto la Ley Orgánica de Protección de Datos (LOPD). En el reglamento europeo de protección se han ampliado los derechos del interesado. El consentimiento para el tratamiento de datos ya no puede ser tácito sino que deberá ser una manifestación afirmativa y expresa. Las empresas no podrán utilizar términos incomprensibles ni condiciones llenas de legalismos. Los términos de los formularios deberán ser de fácil comprensión, claros y concisos, y para cada finalidad, en especial para finalidades comerciales.
El RGPD y por ende, la Agencia Española de Protección de Datos (AEPD), ha señalado que la negligencia y la mala voluntad en el cumplimiento pro activo de la normativa de protección de datos serán sancionadas de forma dura (con multas de hasta 20 millones de euros o de un 4% del volumen de negocio). Del mismo modo, por no cumplir las pautas prescritas en el nuevo reglamento de protección de datos personales como tener los registros de actividades de tratamiento; los análisis de riesgos, o en su caso designado el Delegado de Protección de Datos (DPO) o realizadas las Evaluaciones de Impacto, o puestos en práctica los derechos de información preceptivos o legitimadas las bases jurídicas de los tratamientos cualquier empresa podrá ser igualmente sancionada, según el nuevo RGPD, con una multa por valor del 2% de la facturación.
El nuevo reglamento europeo de protección de datos especifica que nadie está a salvo de un percance. Cualquier ataque lanzado a nivel mundial puede atacar a una pequeña empresa y, si hay una fuga de datos personales, tendrá que responder ante la AEPD y demostrar que su empresa previamente se había adaptado y tomado las medidas de seguridad necesarias para evitar la vulneración de los derechos y libertades de las personas físicas. Y para ello es fundamental contar con la ayuda externa de un proveedor informático cualificado porque la responsabilidad será siempre de la empresa, Responsable de los tratamientos, quien además, en virtud del RGPD debe velar para que el Encargado del tratamiento cumpla igualmente con la normativa.
¿Qué deben tener en cuenta las empresas?
En esencia el nuevo reglamento de protección de datos endurece el control sobre los datos personales y otorga a cada individuo el derecho a que sean utilizados o no por cualquier entidad, así como la manera en la que se accede a ellos y retirar el acceso.
Muchas empresas están buscando ayuda para hacer del RGPD un aspecto diferencial y un valor añadido. Su nueva estrategia pasa por considerar que no hay mejor valor comercial, que conocer en profundidad los datos que les suministran sus clientes.
¿Qué es un dato personal?
Es toda información sobre una persona física identificada o identificable, ya sea un nombre, un DNI, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Implicando diferencias respecto la antigua Ley Orgánica de Protección de Datos (LOPD).
Mayor transpariencia
Más transparencia con las personas a cuya información se accede. A partir de ahora, con el nuevo reglamento europeo de protección de datos, las empresas deberán explicar a los usuarios de quien recojan sus datos para qué los están recopilando y demostrar que esos datos sólo están siendo empleados para los fines recabados.
Adiós al consentimiento tácito
Los usuarios, por su parte, tendrán la capacidad de retirar su consentimiento y eliminar la información de los servidores de la empresa. Se acabó el consentimiento tácito. El nuevo reglamento general de protección de datos obliga a muchos más controles para garantizar que, quien cede sus datos, lo hace con pleno conocimiento. A partir de ahora las empresas deben revisar y rehacer el conjunto de contratos y cláusulas.
Las empresas son las responsables de su seguridad
Será cada empresa la que determine cuáles son los niveles de riesgo en los que incurre y las medidas que, en su opinión, debe adoptar para garantizar que la información de cualquier persona está correctamente custodiada y es utilizada de forma correcta. Se acabó el café para todos en la seguridad de los datos para todos. Nadie debería preguntase: ¿Qué es el RGPD? Todos seremos responsables.
Proactividad en la comunicación
Actuar de forma proactiva en la comunicación de fallos. Ante una filtración de Datos, el responsable de tratamiento deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos, en un plazo de 72 horas. Este experto tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, en caso de existir algún riesgo para sus derechos.
La figura del DPO
El RGPD propicia la creación de la nueva figura del Data Protection Officer (DPO) o delegado de protección de datos. Una figura esencial en el nuevo reglamento europeo y que tendrá que identificar todos los posibles riesgos y buscar soluciones para solventarlos. Su presencia es obligatoria para todas las administraciones públicas y en aquellas organizaciones con tratamiento de datos a gran escala y puede ser interno o externo a la compañía.
Nuevos requerimientos para datos de menores
El nuevo reglamento general de protección de datos, considera que el consentimiento parental será requerido para procesar datos de menores de 16 años en servicios online. Los Estados miembros pueden legislar con el fin de rebajar la edad de consentimiento, aunque en ningún país podrá situarse el requerimiento del consentimiento paternal por debajo de los 13 años.
Nuevas certificaciones
El reglamento de protección de datos personales concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas.