Languages

preparandonos-para-el-GDPR

Title

Preparándonos para el GDPR

tecnología

Title

1 de febrero de 2018

Con la llegada del 2018, entramos de lleno en la recta final para la implementación de las novedades que introduce el General Data Protection Regulation (GDPR). Este reglamento de la Unión Europea aprobado en 2016, y que supondrá profundos cambios en la normativa de protección de datos, se volverá obligatorio a partir del próximo mes de mayo. Por lo que todas las empresas deben tener incorporadas las modificaciones necesarias para entonces.

Desde la aprobación en 1995 de la Directiva referente al procesamiento de información personal, la Unión Europea no había elaborado nuevas regulaciones en esta materia. La existencia de una creciente necesidad por armonizar y actualizar las legislaciones estatales, hizo que el 12 de marzo del 2014 el Parlamento Europeo aprobase una primera versión del GDPR que, dos años después, adquiriría su redacción definitiva.

El GDPR tiene dos objetivos principales: unificar los estándares de la Unión Europea y lograr que los ciudadanos europeos tengan mayor control sobre sus datos personales, entendiéndose por estos toda información relativa a una persona física identificada o identificable cuya identidad pueda determinarse directa o indirectamente.

¿Cuáles son los aspectos más relevantes del GDPR?

Es conveniente advertir que el ámbito de aplicación del GDPR no solo se extiende a cuyas compañías cuenten con sede en la UE, sino que también incluye a todas aquellas fuera del territorio europeo que traten datos de ciudadanos comunitarios. Todas estas empresas deberán recabar el consentimiento explícito de las personas, a las que se les denomina como interesados en el reglamento, cuya información vaya a ser tratada. Esto último además se aplicará de manera retroactiva, es decir, toda autorización obtenida de forma tácita hasta el momento deberá ser ratificada de manera expresa.

Otra de las novedades más destacadas, es el plazo de notificación en caso de que se produzca una brecha de seguridad. Las empresas dispondrán de 72 horas para reportarlas a la autoridad de control y a los afectados una vez producidas.

Si este u otros mandatos del GDPR se incumplieran, las multas podrían ascender hasta el 4% del volumen de negocio total anual, o en su caso a 20 millones de euros, eligiendo entre estas opciones la de mayor cuantía. Sin embargo, la determinación final del importe podrá ser graduada por la autoridad nacional de control, la Agencia Española de Protección de Datos en el caso de España, que decidirá en base a criterios de efectividad, proporcionalidad y disuasión.

En cuanto a los derechos de los ciudadanos, el GDPR obliga al responsable del tratamiento de la información personal a proporcionar al interesado un informe exhaustivo en el que se incluirán, por ejemplo, el periodo de conservación de los datos o la existencia de decisiones automatizadas. Asimismo se introduce el derecho al olvido, que supone una formulación reforzada del actual derecho de cancelación, por el que el interesado podrá solicitar que sus reseñas dejen de ser almacenadas, tratadas o publicadas en internet.

El derecho a la limitación en el uso de los datos es otro de los aspectos importantes incluidos dentro del GDPR. Esta limitación será producida cuando el interesado haga constar la inexactitud de alguno de sus identificadores, se produzca un tratamiento ilícito pero no se desee la supresión, cuando el responsable ya no necesite la información personal pero sin embargo el interesado los precise para una reclamación o cuando el interesado ejercite su derecho de oposición hasta que esta quede resuelta.

Por otra parte, en cuanto a las obligaciones impuestas al responsable, este deberá llevar a cabo un análisis de riesgos en el que se detallarán las medidas técnicas y organizativas a implementar para cumplir con el GDPR. También deberá realizar un registro de actividades que incluirá, entre otros, los fines del tratamiento, la descripción de las categorías de interesados y de datos o la información sobre transferencias internacionales.

Primeros pasos en la adaptación al GDPR

Vista la magnitud de la reforma y el poco tiempo que resta para que el cumplimiento del GDPR se vuelva obligatorio, es necesario sentar unas bases claras para poder ajustarnos a la nueva normativa. Nosotros apostamos por el seguimiento de estos cinco pasos:

  1. Conoce a tu empresa para determinar los puntos débiles en los procedimientos de tratamiento de datos personales. Debemos autoanalizarnos para ser capaces de detectar en qué aspectos es más probable que no seamos capaces de cumplir con las exigencias impuestas por el GDPR. Solo de esa manera focalizaremos el esfuerzo en necesidades reales y concretas que permitan cumplir con los plazos de Europa.
  2. Haz un inventario de datos e identifica a las personas clave a las que incluir en el proceso. Esto es importante ya que el GDPR, en su artículo 9, refuerza la protección de determinadas informaciones por considerarlas especialmente sensibles. Realizando una recolección detallada de datos y personas, facilitamos la tarea de localizar aquellos que deben gozar de las consideraciones de seguridad especiales incluidas en el reglamento.
  3. Define las medidas técnicas y organizativas y el método a seguir. La adaptación al GDPR exige transversalidad. No es posible lograr una adecuación completa a la norma europea sin abordar este reto desde una perspectiva global. Por ello, las reformas no pueden afectar solo a una parte de la corporación, sino que han de incorporar tanto medidas en el plano técnico como en el organizativo.
  4. Implanta las medidas. En este caso se trata de llevar a la práctica el plan diseñado en la fase anterior, siendo capaces de integrar todas las áreas.
  5. Forma y conciencia a todo el personal. Esta es una tarea que debe darse en todas las fases de la adaptación, ya que al tanto el éxito o el fracaso dependerá de los trabajadores y de su habilidades a la hora de incorporar los cambios necesarios.

Categorías

Etiquetas

0 Comentarios

Deja tu comentario

Los más leídos