"Las empresas han de aplicar medidas técnicas y organizativas a fin de demostrar que cumplen con el RGPD"
A partir del 25 de mayo de 2018 será obligatorio cumplir con el Reglamento General de Protección de Datos (RGPD). Las empresas que no lo hagan podrían incurrir en sanciones de hasta el 4% de su facturación global, o ser sancionadas con multas de hasta 20 millones de euros.
Aunque la legislación que más ruido está causando es la RGPD, las empresas deben tener en cuenta el cumplimiento de otros reglamentos, como la Directiva de Servicios de Pago -Payment Services Directive (PSD2)- que ha entrado en vigor el 13 de enero y afecta a los servicios de pago y nuevas empresas como las FinTech; y la Directiva NIS, aprobada en Julio de 2016 y en vigor desde agosto, para la seguridad de redes y sistemas de información, un primer paso en legislación sobre ciberseguridad. Quedan 17 meses para que los países miembros la incluyan en sus leyes nacionales y seis meses más para identificar a los operadores de servicios esenciales dentro de sus respectivos territorios.
El Reglamento General de Protección de Datos (RGPD) supone una gestión completamente distinta y más restrictiva a la que se viene aplicando actualmente y es imprescindible que las empresas y organizaciones la acaten. Su ámbito de aplicación es enorme, ya que no sólo incluye toda la Unión Europea, sino que mantiene también al Reino Unido una vez salga de la UE en 2019 (Brexit), ya que el RGPD se incorporará a la legislación británica.
A diferencia de las normas de protección de los datos personales recogidas en la directiva 95/46/CE, el RGPD también afecta a las empresas de fuera de la UE que ofrezcan bienes o servicios a personas de la UE o que controlen su comportamiento dentro de la UE. Por ejemplo, afecta directamente a la transferencia de datos internacionales y a las empresas extranjeras que alojen sitios web accesibles para personas residentes en la UE.
Uno de los grandes cambios que se producirán es el principio de responsabilidad proactiva. El RGPD hace responsable de las violaciones de la seguridad de los datos personales no solo a la empresa que los recoge, sino también a cualquier tercero que los procese en su nombre. Ahora, las empresas finales serán las responsables de garantizar dicha protección, lo que implica “la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento”.
El contenido completo del escrito de Kevin Seddon, Managing Director para NoBlue España, se publicará en Dealerworld de febrero de 2018.
