- 4 de agosto de 2017
¿Cómo deben prepararse las empresas ante el nuevo reglamento de la UE de protección de datos?
El reglamento pretende reforzar el derecho a la protección de datos personales, inherentes a todas las personas, como derecho fundamental y permitir a los ciudadanos europeos un mejor control de los mismos.
El 25 de mayo del pasado año entró en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento y libre circulación de datos personales, derogándose de esta manera la Directiva 95/46/CE .
Este Reglamento, a diferencia de las Directivas, será de aplicación directa en toda Europa, sin necesidad de incorporación por los Estados miembros a su ordenamiento interno. Debido a la trascendencia de las nuevas normas y derechos regulados en este nuevo reglamento, éste no será aplicable en cada estado hasta el 25 de mayo de 2018 ya que es necesario un largo periodo de adaptación en los Estados, Administraciones públicas y empresas. En esa misma fecha quedará derogada la Directiva 95/46/CE.
El reglamento pretende reforzar el derecho a la protección de datos personales, inherentes a todas las personas, como derecho fundamental y permitir a los ciudadanos europeos un mejor control de los mismos. Por su parte, las empresas podrán aprovechar al máximo todas las oportunidades de un mercado único europeo.
Pero, ¿cuáles son las principales novedades del nuevo reglamento que las empresas deberán tener en cuenta en sus políticas de seguridad y protección de los datos?
Para empezar, la norma incluye novedades relativas al deber de información, ya que se amplía la que el responsable debe facilitar previamente al tratamiento de los datos. En relación con la solicitud de consentimiento, como base legal para el tratamiento de los datos, será más clara y rigurosa. No se permitirá el consentimiento tácito o por omisión'. Las empresas, por tanto, deben revisar sus procesos de solicitud de consentimiento para comprobar si se adecúan a los nuevos requisitos del reglamento.
El reglamento, además de seguir reconociendo los ya clásicos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), regula nuevos derechos: el "derecho al olvido" por el que los ciudadanos tienen el derecho de solicitar a las empresas que borren sus datos en determinadas circunstancias como, por ejemplo, cuando los datos ya no sirven a los propósitos para los que fueron recogidos; el "derecho a la portabilidad" de datos, por el que aquellas organizaciones que traten datos de manera automatizada deberán proporcionar a los ciudadanos interesados una copia de estos datos en el formato solicitado para facilitar la portabilidad. El ciudadano podrá solicitar, siempre que sea posible, que la misma empresa transfiera los datos a otro responsable directamente. Y, en tercer lugar, el derecho de limitación, facultad de los interesados para solicitar y obtener del responsable de tratamiento, una limitación del tratamiento de sus datos personales.
Asimismo, las empresas deberán elaborar informes de evaluación del impacto sobre la protección de datos cuando diseñen un nuevo producto o servicio. Y dichos análisis pueden ser requeridos para identificar posibles riesgos en el tratamiento. Al mismo tiempo, el nuevo reglamento requiere a las empresas la notificación a las autoridades de las fugas de datos dentro de un plazo de 72 horas desde que se produzca. En el caso de que haya perjuicio significativo para los ciudadanos, éstos deben ser también notificados.
Otro aspecto importante para las empresas que gestionan un gran volumen de datos personales o que tengan el tratamiento de datos como una de sus principales actividades, es que deberán contar con delegados de protección de datos (DPO).
Además, el reglamente incorpora la llamada "ventanilla única", es decir, en el caso de que una empresa tenga sede en varios países miembros de la Unión Europea, ésta responderá ante la autoridad de protección de datos del país en el que tenga su sede principal. Dicha autoridad actuará como ventanilla única para todas aquellas actividades que la empresa desempeñe en los distintos países. Al mismo tiempo, se incorporan restricciones para las transferencias de datos a países fuera de la UE y se limita a aquellos países que ofrezcan una protección de datos adecuada. Por último, la nueva norma incrementa las sanciones por incumplimiento pudiendo suponer multas de hasta 20 millones de euros o el 4% de la facturación de una empresa.
En resumen, el Reglamento General de Protección de Datos (RGPD), para garantizar el derecho a la protección de datos personales inherentes a todas las personas, establece directrices y mandatos claros en algunos de sus aspectos, dejando otros, sin embargo, a la adecuada gestión interna de las organizaciones. De esta manera, las compañías deberán incluir todos los procesos de gestión de datos personales dentro de los procesos generales de la organización: análisis y gestión de riesgos, análisis de impacto, etc.
FUENTE: EXPANSIÓN