¿Qué es el RGPD?
El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.
¿Qué es?
El Reglamento General de Protección de Datos (RGPD) tiene como objetivo responder a los huecos legales que existen en los procesos captación y el tratamiento de datos de carácter personal dentro de internet.
Esto no quiere decir que las leyes actuales no contemplaban el problema, sino porque los avances tecnológicos han crecido exponencialmente y operan de forma continúa, creando escenarios que no habían sido contemplados legislativamente.
Este es un reglamento propuesto por la Unión Europea; por lo que su cumplimiento es de carácter obligatorio para los Estados miembros desde el momento en el que se aprobó.
Mi empresa no es europea, ni tampoco tiene sede en ese continente. ¿También me afecta el RGPD?
Aunque fue aprobada en Europa, esta nueva normativa determina que todas las empresas, sin importar su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos pertenecientes a la Unión Europea.
Incluso gigantes del internet como Facebook, Apple, Google, Spotify o Amazon, también están sujetas a este reglamento.
¿En qué consiste?
De acuerdo a esta nueva normativa, es imprescindible incluir los términos legales sobre los que se van a desarrollar el tratamiento de los datos, proporcionando información en el instante preciso en que se recaban datos de las partes interesadas.
Se deben especificar y documentar los intereses en los que están fundamentadas esas operaciones de tratamiento, como lo referente a las Evaluaciones de Impacto sobre la Protección de Datos, o transferencias internacionales.
De igual manera, habrá que identificar las carpetas que incluyan información de carácter personal y añadirles un rango de seguridad suficientes para protegerlos de cualquier vulnerabilidad.
El Reglamento General de Protección de Datos hace obligatorio el elegir un responsable de la información de los usuarios. Su obligación es analizar los riesgos a los que la información puede quedar expuesta.
Este responsable tiene que asignar además a un encargado de las carpetas de los usuarios, quien se ocupa de la protección de dichos datos.
En conjunto se encargarán de la custodia de datos. En caso de violación de los mismos, ambos se someterán a las sanciones legales.
El Principio de Responsabilidad Activa consiste en que el consentimiento del usuario en la cesión de datos sensibles tiene que ser explícito, incluyendo determinadas transferencias de datos internacionales.
Adicionalmente, los usuarios deberan recibir información directa sobre como será tratada la información que faciliten en línea.
Los responsables del tratamiento de datos deben elaborar un documento donde se valoren los riesgos del tratamiento de datos que se vayan a realizar.
Las empresas que tengan menos volumen de información pueden limitarse a realizar una simple resumen sobre el tratamiento de datos de sus clientes.
Las empresas tendrán que comunicar tanto a la Agencia de Protección de Datos en su país, así como al propietario de los mismos, la existencia de su carpeta de información donde se almacenan sus datos personales.
De manera similar al punto anterior, los derechos de las personas serán el de acceso, posibilidad de borrar información, corregir inexactitudes, evitar la comercialización de los datos, portabilidad de los mismos y prevención a la hora de tomar decisiones sobre ellos o crear perfiles automatizados.
En lo que correspondiente a la comunicación de la privacidad, se debe crear un plan de comunicación para realizar cambios de cara a la implementación de la RGPD.
Esta nueva normativa supone que las empresas tienen que explicar la información relacionada con los términos legales de protección de datos, los derechos de las personas y los períodos de retención en un lenguaje claro, conciso y sencillo de entender.
¿Qué debe hacer mi empresa al respecto?
Tu empresa debe estar al corriente de los cambios y novedades que la RGPD implica para tu negocio.
Las organizaciones pueden ser multadas con hasta el 4% de su facturación global anual por infringir RGPD o 20 millones de euros.
Ésta es la multa máxima que se puede imponer por las infracciones más graves, como por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por Diseño.
También existe un enfoque escalonado para las sanciones. Es decir, una empresa puede recibir una multa del 2% de su facturación por no tener sus registros en orden, sin notificar a la autoridad supervisora y al sujeto de los datos sobre una infracción o no realizar la evaluación de riesgo en la información.
Es prioritario que tu empresa audite el tratamiento de datos que está llevando a cabo actualmente y empiece a cumplir las normativas para evitar el riesgo de posibles sanciones.