- Las empresas deben analizar el tratamiento de sus datos personales, evaluar los riesgos y desarrollar planes de corrección y actuación para adaptar su gestión de protección de datos al GDPR antes del 25 de mayo de 2018
a protección de datos ha entrado en un período de cambio sin precedentes con el nuevo Reglamento General de Protección de Datos (GDPR) que será de plena aplicación en los Estados miembros de la Unión Europea a partir del 25 de mayo de 2018. Las empresas e instituciones tienen, por tanto, menos de un año para revisar sus programas de cumplimiento en esta materia y decidir la inversión que necesitan realizar para adaptarse a este nuevo marco regulatorio. El Derecho al Olvido y la Portabilidad de los Datos se postulan como las dos obligaciones del GDPR que resultan más complejas para las empresas.
Las organizaciones disponen desde mayo de 2016 de un plazo de dos años para analizar el tratamiento que hacen de sus datos personales, evaluar sus riesgos y desarrollar planes de corrección y actuación con el fin de ajustar su gestión de protección de datos al GDPR. Para ello, las organizaciones deberían examinar qué datos procesan, dónde se encuentran en la estructura de la empresa, de dónde y a dónde se transfieren y cómo se garantiza su seguridad a lo largo de su ciclo de vida.
Para José Domínguez, Director en EY Abogados, “la introducción de nuevos derechos para los particulares, como el “Derecho al Olvido” y el “Derecho a la Portabilidad de los datos”, así como la obligación de notificación en caso de brecha de seguridad, aumentarán la carga reglamentaria y de cumplimiento normativo para las organizaciones”.
El GDPR tendrá un impacto significativo en las empresas de todos los sectores. De hecho, el Informe Anual de Guía de la Privacidad de la IAPP-EY 2015 revelaba que el 63% de los encuestados reconocía que el grado de madurez de sus políticas de protección de datos se encontraba aún en etapas tempranas o medias de madurez. Asimismo, el 67% de las organizaciones señalaba que el cumplimiento normativo y legal era una de sus principales razones para invertir en protección de datos; y el 31% afirmaba estar planeando aumentar el número de empleados dedicados a sus programas de privacidad y aumentar los presupuestos para la protección de datos.
Cambios clave del GDPR
El nuevo Reglamento General de Protección de Datos sustituirá a la Directiva 95/46/CE, que ha sido la base de la legislación europea en materia de protección de datos desde su publicación en 1995.
Cambios clave propuestos por el GDPR de la UE
|
Multas de hasta el 4% del volumen de negocios mundial anual:
|
Las multas por una infracción del GDPR son sustanciales. Los reguladores pueden imponer multas de hasta:
- 4% del volumen de negocio mundial anual total o € 20.000.000.
|
Alcance ampliado:
|
Se aplica a todos los responsables y encargados del tratamiento de datos establecidos en la UE y a las organizaciones que ofrezcan servicios a los ciudadanos de la UE.
|
Delegados de Protección
de Datos (DPOs):
|
Los DPO deben ser nombrados en supuestos tasados: si una organización lleva a cabo un seguimiento sistemático a gran escala o procesa grandes cantidades de datos personales de carácter sensible.
|
Responsabilidad:
|
El responsable de tratamiento debe demostrar que:
- Establece una cultura de seguimiento, revisión y evaluación de los procedimientos de tratamiento de datos.
- Minimiza la finalidad y las categorías de datos para el adecuado tratamiento y la retención de datos.
- Desarrolla medidas de seguridad para las actividades de tratamiento de datos.
- Documenta las políticas, procedimientos y operaciones de tratamiento de datos que deben ponerse a disposición de la autoridad de supervisión de protección de datos cuando ésta lo solicite.
|
Evaluaciones de impacto
en la privacidad:
|
Las organizaciones deben realizar evaluaciones de impacto en la privacidad al realizar el tratamiento de datos personales a gran escala o cuando afecte a los derechos de los interesados.
|
Consentimiento:
|
- El consentimiento del consumidor para procesar sus datos debe ser otorgado libremente y para propósitos específicos.
- Los consumidores deben ser informados de su derecho a retirar el consentimiento prestado.
- El consentimiento debe ser “explícito” en el caso de datos personales sensibles o flujo de datos transfronterizos.
|
Notificación de brecha
de seguridad:
|
- Las organizaciones deben notificar sin demora injustificada o en un plazo no superior a 72 horas a las autoridades de supervisión de las brechas de seguridad en los datos, a menos que el incumplimiento no sea un riesgo para los particulares.
- Si existe un alto riesgo para los particulares, estos deben ser informados.
|
Nuevos derechos:
|
- El Derecho al Olvido - el derecho a pedir a los responsables del tratamiento que borren todos los datos personales sin demora indebida, en determinadas circunstancias.
- El derecho a la portabilidad de datos - cuando los particulares hayan proporcionado datos de carácter personal a un proveedor de servicios, pueden exigir al proveedor que “transfiera” los datos a otro proveedor, siempre que sea técnicamente factible.
|
Privacidad por diseño:
|
- Las organizaciones deben integrar la política de protección de datos en el desarrollo de procesos de negocio y nuevos sistemas.
- La configuración de la privacidad se establece en un nivel alto por defecto.
|
Obligaciones de
los encargados:
|
- Nuevas obligaciones de los encargados del tratamiento de datos – los procesadores de datos se convierten en una figura regulada.
|
Responsables conjuntos
|
- La responsabilidad de protección de datos podría dividirse entre varios responsables.
|
En este sentido, el Informe conjunto IAPP y EY sobre Dirección de la Privacidad de 2016 señala que el Derecho al Olvido, la Portabilidad de los Datos y la Obtención del Consentimiento Explícito son las obligaciones del GDPR que resultaban más complejas para las empresas consultadas. El informe señala que para las organizaciones con entre 25.000 y 74.000 empleados el requisito del Responsable de Protección de Datos es el que presenta más dificultad, mientras que para las empresas que tienen un beneficio de más de 100 millones de dólares es la comprensión del marco regulatorio.