Conoce las claves para adaptar el reglamento GDPR en España (Reglamento General de Protección de Datos). La norma que va a ser de obligatorio cumplimiento en nuestro país para las  empresas a partir del 25 de mayo. Averigua qué es el GDPR y cómo cumplirlo para evitar sanciones.

El tiempo se echa encima para la aplicación de la norma que va a regir el futuro de la protección de datos. Las cuatro siglas más pronunciadas en el mundo de los negocios, de los servicios, del sector financiero, informático, de las telecomunicaciones y todo el abanico de entidades que conforman la institución pública.

La GDPR, ya aprobada en la Unión Europea, debe ser interpretada de forma inminente a nivel nacional. El reglamento es de especial interés porque da mayor poder a los interesados sobre sus datos personales y supone un mayor compromiso para las empresas, que deben efectuar análisis de riesgos para clasificar e identificar la información sensible, al objeto de adaptarse a la normativa y evitar sanciones.

Desde Letslaw hacemos un repaso a este nuevo reglamento, al objeto de informar a las empresas sobre las novedades y sus consecuencias en España, para facilitar el derecho de sus negocios y las claves a la adaptación de los cambios gubernamentales y el entorno digital y tecnológico.

¿Qué es el GDPR?

El GDPR es la última y más profunda reforma de la regulación europea en materia de protección de datos. El objetivo prioritario de la puesta en marcha de este documento es reforzar y unificar la protección de la información para todos los ciudadanos europeos.

Es decir, el GDPR se aplica de forma automática en todos los estados miembros de la UE, sin necesidad de sufrir modificaciones por leyes nacionales. Por ello, la norma afecta a todas aquellas empresas y organismos españoles que traten datos como consecuencia de una oferta de bienes o servicios destinados a los ciudadanos, como pueden ser el conglomerado de bancos, hoteles, empresas de automoción, moda, laboratorios, del sector alimenticio, así como aquellas que desarrollan su actividad en el entorno digital, como las e-commerce. También a los no establecidos en la UE, siempre que el tratamiento sea de usuarios que reciban información de Europa.

El reglamento se ha puesto en marcha debido al avance de la tecnología, unido al constante proceso de globalización, que establece líneas rojas entre el derecho a la información y la defensa de la privacidad.

La clave es establecer un marco sólido y estable para generar mayor confianza para facilitar el desarrollo de la economía digital interior, no obstante, conviene tener preparado un protocolo para que no nos coja desprevenidos, para evitar sanciones con un abogado en ciberseguridad, si es necesario llegado el caso.

El GDPR en España

Según la firma de seguridad Trend Micro, que ha realizado una encuesta para conocer el grado de adaptación del LOPD de las grandes empresas a esta nueva normativa, el 100% de los directivos conocen su existencia, el 95% asegura haber leído los requisitos y el 82% están convencidos de que sus datos están lo más seguros posible”.

La reacción contrasta con el sector de las Pymes. Otro estudio liderado por la consultora independiente Vanson Bourne revela que el 80% de las pequeñas y medianas empresas desconoce las implicaciones del nuevo reglamento, y también destaca que el 54% de las empresas europeas en general tienen muy poco conocimiento de las multas y sanciones de la GDPR.

¿Cómo cumplirlo?

Las empresas deben efectuar análisis de riesgos de sus tratamientos de datos, es decir, hacer un inventario de toda la información, o al menos tener controlada la más sensible. Es un consejo útil realizar un registro interno de actividades, al objeto de ser consciente de los datos que trata, sus finalidades y las obligaciones que debe cumplir.

El reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Debe haber una opción real y control por parte del interesado en el tratamiento corporativo de los datos personales.

La necesidad de las empresas, con estos cambios gubernamentales, es la de incorporar una nueva figura, el Delegado de Protección de Datos (DPO), que puede ser un trabajador de la entidad o un consultor externo, encargado de comprobar y registrar el tratamiento que se realiza de los datos personales dentro de la organización. El objetivo es facilitar la cooperación y coordinación con las correspondientes autoridades de protección de datos. Las entidades, independientemente de su tamaño, colocan a estos delegados como elemento clave en el cumplimiento de la normativa en el manejo y el uso de la información.

El reglamento, por otra parte, introduce los sistemas de cifrado, para proteger la privacidad, con los que se va a poder evitar la obligación de comunicar a los afectados las brechas de seguridad en determinados casos.

Y aparecen conceptos muy importantes para empresas de marketing o en proceso de digitalización, como el derecho al olvido y a la portabilidad. En el primer caso, los ciudadanos pueden solicitar que sus datos personales sean suprimidos, y en el segundo una persona puede requerir que la información personal que tenga una organización sea transportada a otra.

Letslaw

En definitiva, para cumplir el reglamento, es importante una auditoría interna y una revisión de contratos con usuarios y proveedores teniendo en cuenta aspectos como el consentimiento informado y de responsabilidad activa, así como una implementación de medidas legales que se deriven de los estudios internos.  

La GDPR es un nuevo reto para las organizaciones en la actualidad, ya que la información de personas físicas que se posee es importante y las restricciones para salvaguardarlas se ha incrementado.

Con el reglamento se busca homologar todas las directrices y acabar con la actual fragmentación existente entre las distintas normativas de los países europeos.

Conviene estar precavidos para evitar sanciones, ya que las multas en caso de incumplimiento pueden llegar a ser de 20 millones de euros o del 4% del volumen del negocio total anual global.