Blog Ciberseguridad

Las claves del nuevo Reglamento General de Protección de Datos

  • ¿Se han adaptado las empresas a la nueva normativa?

  • Las compañías podrían ser sancionadas con hasta 20 millones de euros ó el 4% de su facturación por no cumplir la normativa europea

El Reglamento General de Protección de Datos (RGPD), también conocido por sus siglas en inglés GDPR, será finalmente de obligado cumplimiento a partir del próximo 25 de mayo. A pesar de los dos años de tiempo que ha dado la Unión Europea como periodo de adaptación a la nueva normativa y de las altas multas que contempla, muchas compañías todavía no han comenzado a hacer los cambios necesarios para no ser sancionadas.

Una de las principales novedades que llega con la normativa europea y que supone un cambio de paradigma en la protección de datos es el principio de responsabilidad proactiva. Esto significa que son las propias organizaciones las que están obligadas a demostrar que cumplen la RGPD, a través de la implementación de las medidas de seguridad que considere adecuadas en función del tratamiento de datos que  realice.

En este sentido, las compañías también son las responsables de asegurarse de que los proveedores con los que trabaja también cumplen con la normativa europea y que han implantado las medidas técnicas y organizativas que garanticen un nivel adecuado de protección.

Pero, ¿quiénes están obligados a cumplir la normativa? Cualquier entidad de carácter público o privado que recabe datos personales de ciudadanos europeos (clientes, empleados, curriculums…). En el caso de entidades mercantiles, desde trabajadores autónomos hasta grandes corporaciones, independientemente de que estén establecidos en la Unión Europea o no.

Las compañías están obligadas analizar cada uno de los canales de entrada de la protección de datos y estudiar las finalidades perseguidas a través de su tratamiento, ya que se exige que no se recopilen datos porque sí, y que sólo se traten aquellos mínimos y necesarios para el logro de los fines legítimos de la empresa.

De modo que se hace necesario mantener un registro de actividades de procesamiento, realizar valoraciones del impacto de la protección de datos y documentar los incidentes relativos a la protección de los mismos. Por ejemplo, cualquier robo de información, fuga de datos  o ciberataques debe notificarse en un plazo de 72 horas a la Agencia Española de Protección de Datos.

En este sentido, uno de los factores que ha desatado más nerviosismo entre las compañías es el elevado coste de sanciones por no cumplir con está normativa: de 20 millones de euros ó el 4% del total de la facturación anual (la de mayor cuantía entre los dos baremos).

Otra novedad a destacar es la nueva figura del Delegado de Protección de Datos (DPO), que será obligatoria para aquellas empresas que realicen tratamientos de datos a gran escala o que sean datos sensibles. El DPO podrá pertenecer a la propia empresa o actuar de manera externa.

Además, la regulación de la autorización del uso los datos personales es otra de las claves sobre la que descansa toda la trama de garantías legales diseñada para salvaguardar nuestra privacidad en un mundo cada vez más y más digital. En este sentido, no se permite el consentimiento tácito, lo que obliga a todas las empresas a revisar el conjunto de cláusulas y rehacerlas, a lo que se añade que dicho consentimiento debe ser revocable en cualquier momento.

Wellness Telecom, que gestiona la adaptación de diferentes organizaciones al nuevo RGPD, se hace hincapié en la importancia de tener en cuenta las características propias de cada empresa, así como las necesidades del sector al que se dedica, para implementar las soluciones más eficaces en función del tratamiento de datos que realice.

El objetivo es proteger a los ciudadanos contra el uso y el carácter fraudulento de sus datos de carácter personal, dándoles el control de sus datos, así como unificar la regulación de los mismos dentro de la Unión Europea. Además de las obligaciones hay que pensar que la nueva normativa también trae oportunidades para un mejor rendimiento. Las compañías tendrán un conocimiento real de los datos de que disponen, lo que puede suponer una posibilidad de darles una gestión y un valor más productivo.