LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 23:25:58

LegalToday

Por y para profesionales del Derecho

Cada vez más cerca el obligado cumplimiento del reglamento general de protección de datos (RGPD)

Legal Today

El Reglamento General de Protección de Datos (RGPD) tiene un alcance mucho más amplio que la Ley de Protección de Datos (LOPD). Establece nuevos y mejores derechos para los ciudadanos de la Unión Europea y demandas más estrictas y extensas en todas las áreas de la empresa. Independientemente de su tamaño, todas las empresas deben prepararse para el nuevo reglamento de la RGPD, al ser de obligado cumplimiento. Las penalizaciones por la no aplicación o por la mala ejecución pueden implicar desde una sanción entre el 2% y el 4% del volumen de negocio, hasta consecuencias a nivel penal. Las empresas han de aplicar medidas técnicas y organizativas para garantizar y demostrar su correcto cumplimiento en el tiempo.

A menos de 4 meses para la finalización del periodo de adaptación al Reglamento General de Protección de datos (RGPD), Ayming, consultora experta en rendimiento empresarial, aconseja a las empresas iniciar un proceso de adecuación progresivo y continuo en sus procesos internos, máxime cuando se ha impuesto un régimen sancionador. El próximo 25 de mayo finaliza el plazo de 2 años dado por la Unión Europea a los diferentes estados miembros para que las empresas, sea cual sea su tamaño, cumplan con los requisitos establecidos.

Protección datos

Con este nuevo reglamento, la Unión Europea quiere ofrecer más control a los ciudadanos sobre su información personal en el contexto de la era digital (redes sociales, geolocalización a través de dispositivos, etc…), reduciendo las cargas administrativas y facilitando su aplicación por parte de las empresas europeas. Su objetivo es doble: concienciar sobre la privacidad de las personas y las empresas, ampliando los derechos de los usuarios y las obligaciones de las empresas, y armonizar todas las Leyes de privacidad de datos en la Unión Europea.

La no adaptación al citado reglamento por parte de las empresas puede implicar una sanción monetaria del 2% al 4% del volumen de negocio y tener consecuencias a nivel penal. Esto puede tener un impacto muy importante dentro de la empresa, ya que en el caso de que la falta sea grave, puede llegar al 4% de la facturación global consolidada. Como ejemplo, una multa que antes de la entrada en vigor del RGDP era de 150.000 €, podría ascender a 3 M € con la aplicación de la nueva normativa.

Si tenemos en cuenta el plazo de adaptación y las sanciones, nos encontramos con un auténtico reto para las empresas que todavía están en proceso, o no han empezado con los trámites para garantizar el cumplimiento. Ahora ya no va a ser suficiente cumplir con la Legislación de Protección de Datos de cada país, sino que se deberá "garantizar un estándar" de cumplimiento Europeo.

La empresa tiene por tanto que acelerar en la implantación del Reglamento General de Protección de datos (RGPD), teniendo en cuenta los siguientes aspectos:

  • Transformar su gobierno y prácticas (nuevos roles y procesos).
  • Proteger los datos estructurados y no estructurados a lo largo de su ciclo de vida.
  • Detectar y notificar infracciones y filtraciones de datos dentro de las 72 horas siguientes a su detección.
  • Reducir los costes de IT y de Seguridad.

Eduardo Ochoa, Manager del Departamento de Operations Performance en Ayming, ha comentado al respecto que "este cumplimiento conlleva un alto nivel de exigencia, ya que independientemente de la sensibilidad de los datos personales que se traten, hay que tener en cuenta desde los registros y el control de accesos; la gestión de derechos de acceso; la gestión de altas y bajas en el registro de accesos; que el procedimiento sea seguro; la gestión de contraseñas de usuario; la trazabilidad de los datos, Back up y cifrado de la información, etc.".

La recomendación de Ayming es centrarse en los siguientes requisitos de alta prioridad para adaptase al RGDP:

1. Determinar el papel de nuestra organización bajo la RGDP. Cualquier organización que decida por qué y cómo se controlan los datos, es controladora de datos, y por lo tanto hay que evaluar qué impacto va a tener y tomar las medidas necesarias para su aplicación.

2. Designar un Oficial de Protección de datos. Ya sean Pymes, grandes empresas u organizaciones públicas, están obligadas a designar un Oficial de Protección de datos (DPO). Según el reglamento están obligadas:

  • Todas las autoridades y organismos públicos (con independencia de los datos que procesen).
  • Empresas o entidades que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala.
  • Empresas o entidades que procesen categorías especiales de datos personales a gran escala. Los datos personales especiales son aquellos que revelan la afiliación sindical, datos genéticos, datos biométricos y datos relativos a la salud.
  • Los proveedores de servicios que accedan a datos personales (encargados del tratamiento) y que cumplan cualquiera de los puntos anteriores.

3. Demostrar responsabilidad en todas las actividades de procesamiento de datos. Las organizaciones tienen que identificar uno por uno todos los procesos en los que están involucrados datos personales. En el futuro, la calidad y relevancia de los datos se deberán analizar antes de iniciar cualquier actividad de procesamiento.

4. Comprobar el intercambio de datos de manera global. Hay que analizar todos los países a los cuales hay una trasferencia de información, independientemente de si están o no dentro de la Unión Europa. En el caso de que la información se transfiera fuera de la UE habrá que asegurar ese intercambio de información, así como organizaciones de fuera de la UE, que traten datos de residentes en la UE.

5. Estar preparado para que cualquier sujeto pueda ejercer sus derechos. Los sujetos de los datos tienen derechos ampliados bajo el GDPR. Estos incluyen el derecho a ser olvidados, a la portabilidad de datos y a ser informados (por ejemplo, en caso de una violación de datos). Si una empresa aún no está preparada para manejar los incidentes de violación de datos y los sujetos que ejercen sus derechos, ahora es el momento de comenzar a implementar controles adicionales.

Como se puede apreciar son muchos los cambios. Las empresas deberán establecer una organización y procedimientos internos para garantizar que todos los departamentos (desde el CEO a Recursos Humanos, desde el departamento de Marketing al departamento financiero), tengan en cuenta los principios de protección de datos en todos los niveles de la empresa.

"Para logar una implantación de manera efectiva en tiempo y forma, deben seguirse las siguiente cuatro fases:

Las empresas deberían establecer con urgencia un mapa detallado del procesamiento, implementado la manera en que se recopilan los datos, la ubicación de los mismos, los posibles destinatarios de éstos, así como las medidas ya implementadas para garantizar la protección de los datos.  Este es un diagnóstico que requiere tiempo y recursos que serán más caros cuanto menos tiempo se disponga.

Por último, -prosiguió Eduardo Ochoa-, "recordar que una vez que las empresas lleguen al 25 de mayo del 2018 con todos los cambios realizados y las adaptaciones y medidas técnicas hechas, empieza la carrera. Después hay que realizar auditorías anuales, para asegurarnos que el trabajo se lleva a cabo de manera correcta y se van implementado todos los cambios que puedan surgir después de la aplicación del reglamento".

A modo de resumen, las claves de la nueva normativa (RGDP) son: el consentimiento debe ser inequívoco; claridad y sencillez de la información a los interesados; nuevos derechos; Responsable encargado; nueva figura del delegado de protección de datos; medidas de seguridad; registro de actividades de tratamiento; notificación de "violaciones de seguridad de datos"; transferencias internacionales; código de conducta y valoración general.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.