Si tu empresa procesa datos personales de ciudadanos europeos, desde el día 25 de mayo de 2018 tienes la obligación de cumplir con el nuevo Reglamento General de Protección de Datos, (en adelante RGPD), es decir, que no podrás usar sus datos sin su permiso expreso.
En el contexto de la era digital, esta nueva normativa aspira a brindar a los ciudadanos más control sobre sus datos personales y establece pautas explícitas para las empresas con el fin de proteger su privacidad.
> Aumenta la responsabilidad de las empresas
> Refuerza la privacidad de las personas
> Garantiza su cumplimiento con unos estándares elevados de protección
El objetivo principal es regular el tratamiento y la gestión de datos en empresas ubicadas en todos los Estados miembros de la Unión Europea o de cualquier empresa o negocio del mundo que procese información sobre ciudadanos europeos independientemente de su ubicación.
Un gran salto hacia el futuro.
Y una magnífica oportunidad para que las empresas promuevan un cambio cultural destinado a aumentar la protección de los datos y recuperar la confianza de los usuarios.
Qué es el RGPD
El RGPD, reemplaza la Directiva 95/46 de la LOPD o Ley Orgánica de Protección de Datos, y agrega una serie de nuevos requisitos mínimos de obligado cumplimiento para las empresas, independientemente de su tamaño, acerca de los datos personales muy especialmente con respecto a la actividad online.
Y eso es solo para empezar.
El nuevo reglamento va a obligar a tu empresa a justificar ante el usuario (y las autoridades competentes) cada dato guardado, y la no adopción te enfrenta a sanciones severas, pudiendo llegar a 20 millones de euros o el 4% de la facturación anual.
Valora también como consecuencia desagradable la pérdida de tu reputación online.
Aunque conviene recibir el asesoramiento legal de abogados especializados con el fin de cumplir todos los requisitos legales, si tu empresa procesa datos considerados de escaso riesgo o con riesgo más avanzado de forma puntual, la Agencia Española de Protección de Datos pone a tu disposición Facilita RGPD, una herramienta de apoyo para la adaptación al nuevo reglamento.
Conoce las repercusiones y novedades más importantes
Consentimiento
Con el RGPD el consentimiento cambia radicalmente con respecto a la LOPD, y debe ser libre, específico, informado e inequívoco.
Obliga a que el responsable del tratamiento de los datos esté capacitado para demostrar que el usuario consintió el tratamiento de sus datos personales, y en el caso de usar tu página web para recabar el consentimiento, debe hacerse a través de casillas no premarcadas.
Transparencia
La información puesta a disposición de los interesados deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Se le debe informar de la identidad del responsable, la finalidad del tratamiento, los destinatarios de los datos, el plazo de conservación, cómo ejercitar sus derechos, o el derecho a realizar reclamaciones, entre otras cosas.
Derechos
Además de los denominados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) el RGPD añade algunos requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas.
Su obligación recae sobre la figura del Responsable del Tratamiento con obligaciones basadas en la necesidad de que “aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento”.
Derecho al acceso
Se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento, de modo que los responsables podrán facilitar el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales, u obtenerlos por medio de escrito, copia, fotocopia, entre otros.
El plazo máximo para la resolución de la solicitud por parte del responsable del fichero es de 30 días.
Derecho al olvido
Es el derecho que tienen los usuarios a modificar, cancelar o borrar sus datos personales e impedir la difusión de su información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.
Cuando los datos estén siendo utilizados también por terceros, se les solicitará que procedan a la cancelación por parte del responsable.
La información personal no puede ser mantenida por más tiempo de lo establecido y únicamente para el propósito que originalmente fue recabada.
Derecho a la portabilidad
Complementa el derecho al acceso y permite a las personas obtener una copia de los datos que previamente han proporcionado a una entidad/empresa/organización (concretamente al responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica.
El objetivo es trasladar, copiar o transmitir los datos personales con facilidad de un entorno informático a otro y se podrá ejercitar cuando el tratamiento esté basado en el consentimiento del interesado o de un contrato, o bien se lleve a cabo por medios automatizados.
Notificaciones
Cualquier notificación acerca de la violación de la seguridad de los datos se hará en un plazo máximo de 72 horas a contar desde que se tenga conocimiento y que desde la puesta en vigor del nuevo reglamento afectará a todos los responsables del tratamiento de datos personales.
Análisis de riesgos
Los responsables deberán cuantificar el riesgo de vulnerabilidad informática y las posibles brechas de seguridad que puedan afectar los derechos y libertades de los interesados.
Lo harán en función del tipo de tratamiento, la naturaleza de los datos, el número de interesados afectados y la cantidad o variedad de tratamientos realizados en el marco de una misma organización.
Registro de actividades de tratamiento
En esta nueva normativa europea, los responsables y encargados del tratamiento de los datos deberán mantener un registro de operaciones que contenga la información que establece el RGPD.
Inscripción y notificación de ficheros
Se suprime la necesidad de crear ficheros y notificarlos al registro de protección de datos a partir de la entrada en vigor del RGPD el 25 de mayo de 2018.
Principio de responsabilidad proactiva
Se define como la necesidad de que “el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas con el fin de garantizar y demostrar la conformidad con el Reglamento”.
Delegado de Protección de Datos
Se establece una nueva figura, conocida como DPO (en inglés, Data Protection Officer) que se ocupará de informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos sin sustituir, en ningún caso, las funciones que desarrollan las autoridades de control.
Y aquí está lo mejor de todo.
Conviértelo en tu oportunidad estratégica para destacar.