Las implicaciones del nuevo RGPD ¿Está su empresa preparada?

El tiempo se acaba. A partir del próximo 25 de mayo tanto la seguridad como el tratamiento de la información de terceros en las empresas sufrirá un cambio drástico con la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD). Su inminente implantación requiere de forma urgente adoptar una serie de medidas para garantizar el uso adecuado de la información personal, especialmente para las organizaciones que siguen sin revisar todos aquellos procesos que impliquen la gestión y manipulación de datos personales desde que en 2016 se estableció un periodo transitorio para la correcta adecuación de la normativa.

Las nuevas medidas, tanto a nivel organizacional, como técnico, tienen el objetivo único de salvaguardar la privacidad de los datos de todos los ciudadanos que residan en la Unión, independientemente de la ubicación de la empresa, ámbito de actuación del Reglamento.

Las consecuencias del no cumplimiento del RGPD contemplan multas relevantes que pueden llegar a 20 millones de euros o una cuantía equivalente al 4% como máximo del volumen del negocio total anual del ejercicio financiero anterior.

La premisa es que las empresas no subestimen este reglamento y actúen con celeridad para cumplirlo ya que la nueva normativa implica a todas las organizaciones, independientemente de su tamaño, porque todas tienen clientes, empleados o colaboradores y manejan información considerada de carácter personal.

Qué se considera dato personal

Sin embargo, antes de saber si su compañía está preparada para afrontar el reto, lo primero que hay que preguntarse es qué se entiende realmente por datos personales. Según un informe de Trend Micro, la mayoría de las organizaciones aún están confusas y no saben realmente cuál es aquella información que deben proteger.

La definición de dato personal viene recogida en el artículo 4 del RGPD al señalar que es “toda información sobre una persona física identificada o identificable”, considerando ésta “a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Una vez determinado cuál es el objeto a proteger, hay que tener en cuenta que el Reglamento basa fundamentalmente su articulado en el consentimiento del procesamiento de los datos, al indicar que éste debe ser “informado, específico e inequívoco”, ya que las empresas deben proporcionar información clara y entendible a los usuarios, donde cada sujeto tendrá que autorizar de forma explicita, y no tácitamente, su consentimiento para el manipulado y procesamiento de sus datos de carácter personal.

El deber de informar

Hasta ahora la actual LOPD (Ley Orgánica de Protección de Datos) establecía las siguientes obligaciones respecto a la información que se han de facilitar a las personas interesadas en el momento en que se soliciten los datos:

  • Existencia de fichero, tratamiento, finalidad y destinatarios
  • El carácter obligatorio o no de la respuesta, así como de sus consecuencias
  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y datos de contacto del responsable del tratamiento

Con la nuevo Reglamento General de Protección de Datos se delimita y amplia el deber de informar añadiendo a los anteriores requisitos, añadiendo estos :

  • Los datos de contacto del Delegado de Protección de Datos, en su caso
  • La base jurídica o legitimación para el tratamiento
  • El plazo o los criterios de conservación de la información
  • La existencia de decisiones automatizadas o elaboración de perfiles
  • La previsión de transferencias a Terceros Países
  • El derecho a presentar una reclamación ante las Autoridades de Control

Y además, en el caso de que los datos no se obtengan del propio interesado, se pide:

  • El origen de los datos
  • Las categorías de los datos

El nuevo RGPD exige una limitación de uso claro, ya que la información personal sólo puede recogerse con un fin explícito y legítimo, y su uso no puede ampliarse más allá del consentimiento especificado previamente por el usuario.

De hecho, las condiciones con la nueva normativa se fortalecen claramente facilitando que sea simple y rápido tanto retirar el consentimiento como darlo. La clave está en recopilar y proteger los datos personales del modo correcto.

Análisis de riesgo y Delegado de Protección de Datos

Otra de las cuestiones importantes a destacar de la nueva normativa son los análisis de riesgo y las evaluaciones de impacto, ya que serán imprescindibles antes de realizar y ejecutar acciones que conlleven un alto riesgo para los derechos y libertades de las personas físicas, obligando a la adopción de medidas que garanticen el cumplimiento de la correcta aplicación del RGPD.

El reglamento, además, incorpora la obligación de comunicar brechas o incidentes de seguridad a los afectados y también a la Agencia de Protección de Datos en un plazo de 72 horas.

También se añade la figura del Delegado de Protección de datos, fundamentalmente en las Administraciones Públicas, pero sobre todo en aquellas pymes cuya función principal consista en la gestión a gran escala de datos de categorías sensibles (artículo 9) que por su naturaleza, alcance o fines, requiera una observación habitual y sistemática y aquellas otras, cuya actividad principal consista en el tratamiento a gran escala también de datos relativos a condenas e infracciones penales (artículo 10).

En realidad, esta figura constituye uno de los aspectos más importantes para el cumplimiento del RGPD, dejando de forma voluntaria su asunción a aquellas empresas que no manejen datos sensibles de terceros ni a gran escala.

Además, la libertad del usuario de requerir sus datos es otra cuestión a resaltar del nuevo RGPD, ya que el reglamento obliga, sin dilación, a las organizaciones a realizar todas las acciones de rectificación necesarias, así como a proceder al borrado de su información personal (derecho al olvido).

Se añade, por otro lado, el derecho a la portabilidad, es decir: “la capacidad de poder transmitir, copiar o trasladar los mismos a otro proveedor de servicio op de un entorno informático a otro”.

En definitiva, que la llegada del RGPD impone mayores requisitos para mejorar la seguridad de los datos estando todas las compañías obligadas, independientemente de su tamaño, a introducir los cambios necesarios para un mayor control y transparencia.

En GMA Office  contamos con las capacidades para asegurar a nuestros clientes una adecuada adaptación a los requerimientos del nuevo RGPD,  ofreciéndoles asesoramiento experto con profesionales acreditados, comenzando por una auditoría LOPD, con una comprobación de hasta 80 factores de riesgo, planteando y monitorizando un plan de mejora continua de protección de datos, con opción de asumir el rol de Delegado de Protección de Datos exigido por el RGPD, y emitiendo como resultado de dicha asesoría un Certificado de Cumplimiento que nuestros clientes puedan acreditar ante terceros. Para más información, consulte con nuestros expertos.

Imagen: Freepik