Archivo del autor

Preparándonos para el GDPR

 

Con la llegada del 2018 entramos de lleno en la recta final para la implementación de las novedades que introduce el General Data Protection Regulation (GDPR). Este reglamento de la Unión Europea, aprobado en 2016 y que supondrá profundos cambios en la normativa de protección de datos, se volverá obligatorio a partir del próximo mes de mayo, por lo que todas las empresas deben tener incorporadas las modificaciones necesarias para entonces.

Desde la aprobación en 1995 de la Directiva referente al procesamiento de información personal, la Unión Europea no había elaborado nuevas regulaciones en esta materia. La creciente necesidad de armonizar y actualizar las legislaciones estatales hizo que el 12 de marzo del 2014 el Parlamento Europeo aprobase una primera versión del GDPR, que dos años después adquiriría su redacción definitiva.

El GDPR tiene como objetivo primordial unificar los estándares de la Unión Europea y lograr que los ciudadanos europeos tengan mayor control sobre sus datos personales, entendiéndose estos como toda información relativa a una persona física identificada o identificable cuya identidad pueda determinarse directa o indirectamente.

¿Cuáles son los aspectos más relevantes del GDPR?

Es conveniente advertir que el ámbito de aplicación del GDPR no solo se extiende a las compañías con sede en la UE, sino que también incluye a todas aquellas fuera del territorio europeo que traten datos de ciudadanos comunitarios. Todas estas empresas deberán recabar el consentimiento explícito de las personas, denominadas interesados en el reglamento, cuya información vaya a ser tratada. Esto último además se aplicará de manera retroactiva, es decir, toda autorización obtenida de forma tácita hasta el momento deberá ser ratificada de manera expresa.

Otra de las novedades más destacadas es el plazo de notificación en caso de que se produzca una brecha de seguridad. Las empresas dispondrán de 72 horas para reportarlas a la autoridad de control y a los afectados una vez producidas.

Si este u otros mandatos del GDPR se incumplieran, las multas podrían ascender hasta el 4% del volumen de negocio total anual o a 20 millones de euros, eligiendo entre estas opciones la de mayor cuantía. Sin embargo, la determinación final del importe podrá ser graduada por la autoridad nacional de control, la Agencia Española de Protección de Datos en el caso de España, que decidirá en base a criterios de efectividad, proporcionalidad y disuasión.

En cuanto a los derechos de los ciudadanos, el GDPR obliga al responsable del tratamiento de la información personal a proporcionar al interesado un informe exhaustivo en el que se incluirán, por ejemplo, el periodo de conservación de los datos o la existencia de decisiones automatizadas. Asimismo se introduce el derecho al olvido, que supone una formulación reforzada del actual derecho de cancelación, por el que el interesado podrá solicitar que sus reseñas dejen de ser almacenadas, tratadas o publicadas en internet.

El derecho a la limitación en el uso de los datos es otro de los aspectos importantes incluidos en el GDPR. Esta limitación se producirá cuando el interesado haga constar la inexactitud de alguno de sus identificadores, cuando se produzca un tratamiento ilícito pero no se desee la supresión, cuando el responsable ya no necesite la información personal pero el interesado los precise para una reclamación o cuando el interesado ejercite su derecho de oposición, hasta que este se resuelva.

Por otra parte, en cuanto a las obligaciones impuestas al responsable, este deberá realizar un análisis de riesgos en el que detallará las medidas técnicas y organizativas a implementar para cumplir con el GDPR. También tendrá que llevar un registro de actividades que incluirá, entre otros, los fines del tratamiento, la descripción de las categorías de interesados y de datos o la información sobre transferencias internacionales.

Primeros pasos en la adaptación al GDPR


Vista la magnitud de la reforma y el poco tiempo que resta para que el cumplimiento del GDPR se vuelva obligatorio, es necesario sentar unas bases claras para poder ajustarnos a la nueva normativa. Nosotros apostamos por seguir estos cinco pasos:

1. Conoce a tu empresa para determinar los puntos débiles en los procedimientos de tratamiento de datos personales. Debemos autoanalizarnos para ser capaces de detectar en qué aspectos es más probable que no seamos capaces de cumplir con las exigencias impuestas por el GDPR. Solo así focalizaremos el esfuerzo en necesidades reales y concretas y podremos cumplir con los plazos de Europa.

2. Haz un inventario de datos e identifica a las personas clave a las que incluir en el proceso. Esto es importante ya que el GDPR, en su artículo 9, refuerza la protección de determinadas informaciones por considerarlas especialmente sensibles. Realizando una recolección detallada de datos y personas facilitamos la tarea de localizar aquellos que deben gozar de las consideraciones de seguridad especiales incluidas en el reglamento.

3. Define las medidas técnicas y organizativas y el método a seguir. La adaptación al GDPR exige transversalidad. No es posible lograr una adecuación completa a la norma europea sin abordar este reto desde una perspectiva global. Por ello, las reformas no pueden afectar solo a una parte de la corporación, sino que han de incorporar tanto medidas en el plano técnico como en el organizativo.

4. Implanta las medidas. En este caso se trata de llevar a la práctica el plan diseñado en la fase anterior, siendo capaces de integrar todas las áreas.

5. Forma y conciencia a todo el personal. Esta es una tarea que debe darse en todas las fases de la adaptación, ya que al final el éxito o el fracaso dependerá de los trabajadores y de su habilidad para incorporar los cambios.

 

Miguel Ángel Thomas socio responsable del área de Ciberseguridad en everis. Contacta con él a través de Linkedin.