Todas las empresas españolas estarán obligadas a cumplir con el Reglamento General de Protección de Datos de la UE, que será de obligatorio cumplimiento a partir del 25 de mayo de 2018. De hecho, no hemos de olvidar que la normativa está en vigor en la actualidad y que será aplicable de forma directa, a diferencia de las Directivas, sobre todos los sujetos obligados tanto públicos como privados.
Desde Aemol Consulting nos ayudan a acercar la nueva normativa a las empresas tecnológicas reparando en los siguientes aspectos esenciales que, dado que a nuestro juicio:
– Refuerza el derecho de transparencia, por el que se obliga a proporcionar más información con carácter previo a la recogida de los datos y el derecho al olvido para solicitar que los datos personales sean suprimidos en determinadas circunstancias.
– Introduce la obligación de notificación a la Agencia Española de Protección de Datos (AEDP) y al interesado, dependiendo de la gravedad, aquellas brechas de seguridad (plazo máximo de 72 horas) que se produzcan y que supongan riesgo de daños y perjuicios físicos, materiales o inmateriales para las personas físicas.
– Impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologías, entrañen un alto riesgo para los derechos y libertades de las personas físicas; y
– Prevé multas millonarias que pueden alcanzar los 20 millones de euros o hasta un 4% de la facturación anual, la cifra de mayor cuantía.
Además de estas cuestiones analizadas, desde Aemol Consulting consideran que las empresas tecnológicas también tendrán que tener en cuenta los siguientes aspectos esenciales a la hora de adaptarse a la la nueva normativa con respecto a la anterior, y que son:
1.- Auditorías Iniciales: Es importante, antes de iniciar la adaptación al Reglamento (UE) 2016/679, actualizar las políticas, protocolos y textos relativos a la protección de datos, realizar una auditoría en la empresa que permita valorar los cambios necesarios y en qué punto se encuentra la empresa en cuanto al cumplimiento con la nueva normativa. Estas auditorías deberán llevarse a cabo por profesionales jurídicos expertos en protección de datos y por profesionales informáticos con conocimientos en ciberseguridad.
2.-Deber de información: El Real Decreto de protección de datos amplía la información que debe ser comunicada en el caso de los datos personales, y además de los derechos ARCO de acceso a la rectificación, cancelación y oposición añade otros nuevos como son la limitación o portabilidad.
3.- Análisis del riesgo: las empresas estarán obligadas a analizar las vulnerabilidades informáticas y posibles brechas de seguridad con el objetivo de impedir, bloquear o neutralizar los delitos informáticos. Este análisis requiere revisiones periódicas y siempre que cambien las circunstancias tecnológicas en la empresa o en el sector informático y teniendo en cuenta el estado de la técnica (art. 25 RGPD).
4.- Se establecerá la figura del DPO (Delegado de Protección de Datos), de obligatoria creación para las empresas que realicen tratamientos que requieran una observación regular y sistemática de los interesados a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos especiales o datos relacionados con delitos penales. El DPO podrá ser interno o externo y deberá ser designado atendiendo a las cualidades profesionales, conocimientos y práctica en materia de protección de datos.
Como vemos son muchas las novedades que nos trae este Reglamento, con lo que debemos ir trabajando en su incorporación siempre y cuando no sean contradictorias con la normativa que sigue vigente hasta mayo de 2018.
Artículo escrito por Vanesa González, del departamento Soporte Aemol Consulting, para WWWhatsnew.com