El Reglamento de Protección de Datos europeo entrará en vigor el próximo 25 de mayo
Contempla sanciones a las compañías que lo incumplan que alcanzan hasta los 20 millones de €
El nuevo Reglamento General de Protección de Datos europeo (RGPD) -que entrará en vigor el 25 de mayo de 2018- contempla entre sus medidas más novedosas la obligación de nombrar o contratar a un Responsable de Protección de Datos dentro de las empresas. Además, todas las organizaciones globales, tanto las establecidas en los países miembros como las que operan con la UE, están obligadas a cumplir con el reglamento y deberán adaptar sus compañías a la nueva legislación en un plazo de tan sólo seis meses.
El nuevo reglamento europeo establece nuevos derechos en materia de protección de datos para las personas y refuerza las protecciones actuales, aplicando requisitos más estrictos a los procedimientos en que las empresas utilizan los datos de carácter personal, según se desprende de un documento de trabajo elaborado por firma de servicios profesionales Grant Thornton.
De hecho, la génesis de esta nueva legislación se encuentra en el volumen y creación de datos que suscita la proliferación del uso de Internet, las redes sociales, el cloud computing o la geolocalización, entre otras actividades habituales para cualquier ciudadano o empresa en la actualidad. Por ello, la Unión Europea ha desarrollado esta nueva pieza de legislación con el fin de proteger a los ciudadanos y su información privada.
Según Luis Pastor, socio de Innovación y Tecnología de Grant Thornton, “el nuevo reglamento nace teniendo en cuenta las exigencias de tecnología digital en el que operan las compañías, que les exige reforzar sus políticas de ciberseguridad aplicada a datos personales de todos los individuos con los que interactúan, ya sean empleados o clientes”.
Aprovechando la obligatoriedad de la norma, al mismo tiempo en España se ha impulsado el Anteproyecto de Ley Orgánica –que sustituye a la actual Ley Orgánica de Protección de Datos de 1999- para facilitar la adaptación de la legislación de nuestro país al RGPD europeo y que deberá ser aprobada antes de la entrada en vigor de esta nueva normativa europea.
Desconocimiento en el empresariado español
A pocos meses de la entrada en vigor del Reglamento, el conocimiento de las medidas que las compañías han de poner en marcha no es muy elevado, a pesar de que si no se hace pueden enfrentarse a fuertes sanciones contempladas en la nueva legislación, que pueden ascender en los casos de carencias operativas más graves a multas de hasta 20 millones de € o el 4% de la facturación global anual.
Entre otras medidas, el RGPD introduce cambios significativos en la gestión de los datos de particulares por parte de las empresas, como por ejemplo el derecho a oponerse por parte de los clientes a ciertos tipos de elaboración de perfiles; las evaluaciones de impacto relativas a la Protección de Datos (EIPD) que serán de carácter obligatorio; la notificación de las infracciones importantes a la autoridad responsable en un plazo de 72 horas.
Según Luis Pastor, socio de Innovación y Tecnología de Grant Thornton, “para cumplir con el RGPD las empresas y organizaciones deben comprender los principales cambios que supone frente a la legislación actual, evaluar la política de protección de datos actual de sus organizaciones, identificar los posibles riesgos y comprobar el grado de preparación de su empresa para adaptarse a los nuevos requisitos. Tras estos pasos debería establecerse una hoja de ruta de implantación, en la que una figura importante es el nombramiento de un asesor de confianza que evalúe el proceso de implantación”.
Diez pasos para saber si una compañía está preparada
Con el fin de que las empresas diagnostiquen fácilmente su estado de adaptación a la nueva norma, Grant Thornton aconseja seguir un sencillo plan que condensa en diez puntos el camino que una organización debería completar para tener un nivel óptimo de protección en sus datos.
En este decálogo, las empresas comienzan haciendo un análisis rápido de su situación, para pasar a preguntarse si cuentan con los procesos, recursos humanos y documentación exigida por la nueva normativa. Además, las compañías deben tener claro dónde se procesan sus datos de carácter personal y dotarse de un adecuado sistema de evaluación del impacto de protección de datos.
“Es recomendable asimismo que la empresa sepa cómo debe notificar una posible infracción y que evalúe periódicamente la eficacia de sus medidas de seguridad, porque el RGPD no sólo exige verificación, sino también mejora continua”, finaliza Víctor Gené, asociado senior de Legal de Grant Thornton.