NoBlue da las claves para adaptarse al GDPR de una manera correcta y sencilla

A partir del 25 de mayo de 2018 será obligatorio cumplir con el Reglamento General de Protección de Datos (RGPD). Las empresas que no lo hagan incurrirán en sanciones de hasta el 4% de la facturación global de la empresa, o multas de hasta 20 millones de euros.

Aunque la legislación que más ruido está causando es la RGPD, las empresas deben tener en cuenta el cumplimiento de otros reglamentos, como es el caso de la Directiva de Servicios de Pago —Payment Services Directive (PSD2)—, en vigor desde 13 de enero y que afecta a los servicios de pago y nuevas empresas como las FinTech; y la Directiva NIS, aprobada en julio de 2016 y en vigor desde agosto, para la seguridad de redes y sistemas de información, un primer paso en legislación sobre ciberseguridad. Quedan 17 meses para que los países miembros la incluyan en sus leyes nacionales y 6 meses más para identificar a los operadores de servicios esenciales dentro de sus respectivos territorios.

El Reglamento General de Protección de Datos (RGPD) supone una gestión completamente distinta y más restrictiva a la que se viene aplicando actualmente, y es imprescindible que las empresas y organizaciones la acaten. Su ámbito de aplicación es enorme ya que no sólo incluye toda la Unión Europea, sino que mantiene también al Reino Unido una vez salga de la UE en 2019 (Brexit), ya que el RGPD se incorporará a la legislación británica.

A diferencia de las normas de protección de los datos personales recogidas en la directiva 95/46/CE, el RGPD también afecta a las empresas de fuera de la UE que ofrezcan bienes o servicios a personas de la UE, o que controlen su comportamiento dentro de la UE. Por ejemplo, afecta directamente a la transferencia de datos internacionales y a las empresas extranjeras que alojen sitios web accesibles para personas residentes en la UE.

Uno de los grandes cambios que se producirán es el principio de responsabilidad proactiva. El RGPD hace responsable de las violaciones de la seguridad de los datos personales no sólo a la empresa que los recoge, sino también a cualquier tercero que los procese en su nombre. Ahora, las empresas finales serán las responsables de garantizar dicha protección, lo que implica la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Los aspectos más relevantes del RGPD son:

• Obligación de auditar y documentar el estado del cumplimiento de la normativa en la empresa previo a la actualización de las políticas, protocolos y textos relativos al tratamiento de datos personales y su adecuación al reglamento.

• Consentimiento inequívoco y explícito. El Reglamento General de Protección de Datos requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito que permitía la normativa española. Por tanto, los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos si se obtuvieron respetando los criterios de este nuevo Reglamento, y los nuevos no podrán ser obtenidos a partir del famoso “soft opt-in”. Es decir, el usuario web, por ejemplo, deberá marcar la casilla en la que consiente expresamente que la información facilitada sea utilizada con fines comerciales y/o cedida a terceros.

• Obligación de dar más información. Además de los datos requeridos por la LOPD (Artículo 5), que incluyen la finalidad del uso de los datos, destinatarios ficheros, obligación o no de la entrega y sus consecuencias, derechos del interesado e identidad del responsable, el Art. 31 de la RGPD exige la inclusión de: la base jurídica del tratamiento; el tiempo máximo que se mantendrán los datos; la identificación, si procede, del Delegado de Protección de datos; si habrá o no trasferencia internacional de datos; el derecho a presentar una reclamación; la existencia o no de decisiones automatizadas.

Puede seguir leyendo aquí el resto del reportaje.