España y el Nuevo Reglamento General de Protección de Datos



¿Están las compañías españolas preparadas para el Nuevo Reglamento General de Protección de Datos?

El 25 de mayo de 2016 entró en vigor el Nuevo Reglamento Europeo de Protección de Datos (o GDPR por sus siglas en inglés) que, a partir del 25 de mayo de 2018, tendrá aplicación obligatoria. Su aprobación, sin embargo, no ha sido una sorpresa, pues las conversaciones entre el Consejo de la Unión Europea y el Parlamento Europeo comenzaron con una propuesta inicial realizada por la Comisión Europea el 27 de enero de 2012.

Así, se deroga la actual Directiva 95/46/CE de protección de datos y sustituye a las leyes nacionales existentes, en el caso español, la Ley Orgánica de Protección de Datos 15/1999.

El fin, entre otros puntos, es superar el obstáculo generado por las diferentes normativas existentes entre los países de la UE; por lo que todas las empresas que manejan datos de ciudadanos europeos, ya sean locales o internacionales, deben regirse a esta única legislación para de este modo, evitar las diferencias de criterios y sanciones de cada país.

El nuevo reglamento obliga a las compañías a establecer nuevos sistemas de gestión de sus infraestructuras informáticas -en caso que no las tengan lo suficientemente actualizadas-  para garantizar los derecho e identidad de los usuarios y sus acciones en la red.

En qué ámbitos actuará:

–        Ámbito territorial. Incluye a compañías fuera de la UE que realicen tratamientos de datos de personales a ciudadanos que residan en la UE.

–        Consentimiento del interesado. El tratamiento de datos debe ser libre, específico, informado, explícito e inequívoco. Será tan fácil retirar el consentimiento como darlo.

–        Información al interesado.

–        Derechos de los interesados: derecho al olvido; derecho a la limitación del tratamiento; derecho a la portabilidad de datos; derecho a no ser objeto de una elaboración de perfiles basada únicamente en el tratamiento automatizado; el derecho a reclamar

–        Seudonominación. Se introduce el concepto de datos codificados.

–        Rendición de cuentas

–        Medidas de seguridad. Bastará con establecer una política de seguridad que garantice mediante unas prácticas de seguridad (identificación, autenticación, accesos, permisos, tratamiento, destrucción de documentos, copias de seguridad, etc.) que se correspondan adecuadamente a la protección de datos según los riesgos previstos.

–        Protección de datos desde el diseño y por defecto. Garantizar desde el diseño y por defecto la protección de datos en cualquier fase del tratamiento

–        Evaluación de impacto. Las compañías deberán asumir la responsabilidad de evaluar el grado de riesgo que representa para las personas que sean objeto de tratamiento.

–        Registro de las actividades del tratamiento. La obligación de llevar un registro de actividades cuando empleen a un mínimo de 250 personas, o el tratamiento pueda suponer un riesgo para los derechos y libertades del interesado, o se traten categorías especiales de datos o datos relativos a condenas y delitos penales.

–        Encargados del tratamiento. Sujetos a las mismas sanciones que los Responsables.

–        Corresponsables del tratamiento. Existe esta nueva figura para cuando entre varios Responsables o Encargados determinen los fines y los medios del tratamiento.

–        Violación de datos. Se deberán notificar las incidencias a la Autoridad de control en 72 horas, documentando la naturaleza y el contexto de la violación y los posibles efectos de la misma.

–        Delegado de protección de datos. Nueva figura a cargo del Responsable encargada de informar y asesorar al Responsable o Encargado del tratamiento y al personal autorizado para tratar datos, de las obligaciones relativas a la protección de datos personales en tratamientos a gran escala o con un alto nivel de riesgo en protección de datos.

–        Sanciones. Las multas serán proporcionales a cada caso particular. Habrá un incremento de la cuantía sancionable que podrá llegar, en casos graves, al 4% de la facturación en todo el mundo.

¿Nuevas oportunidades?

La necesaria creación de una nueva figura profesional, el DPO (o Data Protección Officer) que debe ser incorporada en empresas de mayor tamaño o donde el tratamiento de datos es el eje de su estrategia, es una de las grandes novedades del nuevo reglamento y muchos lo podrían ver como una oportunidad de creación de un nuevo puesto de empleo.

No obstante, sus funciones o rol, no puede recaer en el director de seguridad de la compañía; pues el cargo y la normativa requieren nuevas medidas de responsabilidad de las empresas en cuanto a la obtención, acceso, intervención, transmisión, conservación o supresión de los datos a terceros.

Gran desafío

Una de las grandes preocupaciones que genera esta nueva normativa es el peligro de sufrir una fuga de datos, por las sanciones que conlleva, equivalentes al 4% de la facturación de las compañías, hasta 20 millones de euros. Además, cualquier filtración o robo de información debe notificarse a la agencia de protección de datos en un máximo de 72 horas.

Por lo que la necesidad de que exista un registro de las actividades en materias de privacidad será una de las prioridades para el correcto cumplimiento de la ley y evitar así las sanciones y millonarias multas.

El escenario europeo y español

De acuerdo al Informe Anual de Guía de la Privacidad de la IAPP-EY 2015, el 63% de los encuestados reconocía que el grado de madurez de sus políticas de protección de datos se encontraba aún en etapas tempranas o medianas de madurez. Mientras que un 67% de las compañías señalaba que el cumplimiento normativo y legal era una de sus principales razones para invertir en protección de datos; y el 31% afirmaba estar planeando aumentar el número de empleados dedicados a sus programas de privacidad y a aumentar los presupuestos para la protección de datos.

Pero la realidad es que solo un 32% de las empresas españolas dispone de un plan específico para afrontar de manera global el nuevo reglamento, según el Informe de Compuware. El estudio señala que, a pesar de los avances, las compañías europeas aún no están preparadas para cumplir la nueva normativa. “Las empresas están evolucionando en la dirección correcta hacia el cumplimiento del GDPR, pero todavía les queda un largo camino por recorrer y en un plazo corto de tiempo”, afirma Elizabeth Maxwell, directora Técnica de EMEA, en Compuware.

Mientras que el estudio sobre el impacto que tendrá el Reglamento General de Protección de Datos realizado por Sophos, es aún más alarmante al señalar que una de cada cinco -de las compañías encuestadas- admitiría que sus negocios podrían cerrar debido a las altas multas.

De acuerdo a John Shaw, VP product management Enduser group de Sophos, “a menos de un año, el 55% de las compañías no creen que vayan a ser capaces de cumplir con la normativa antes de la fecha límite, y están comprensiblemente preocupadas por la necesidad de demostrar su cumplimiento con el GDPR. Sin embargo, con las fugas de datos ocurriendo casi de manera cotidiana a lo largo y ancho de Europa, sostendría que la prioridad principal debería ser la reducción del riesgo de dichas filtraciones de datos”.

No obstante, el estudio es optimista en señalar que el 68% de las empresas tienen actualmente una política de seguridad y que el 98% ya tiene o está implementando programas dirigidos a los empleados para definir e informar qué es una política de seguridad de datos y qué se espera de ellos, en lo que respecta al tratamiento de datos personales. Lo que mostraría una postura proactiva de parte de las compañías españoles en el seguimiento y cumplimiento de la nueva normativa europea de protección de datos.



Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *