WWWhat's new

Las tecnológicas ante el Reglamento General de Protección de Datos

datos

Todas las empresas españolas estarán obligadas a cumplir con el Reglamento General de Protección de Datos de la UE, que será de obligatorio cumplimiento a partir del 25 de mayo de 2018. De hecho, no hemos de olvidar que la normativa está en vigor en la actualidad y que será aplicable de forma directa, a diferencia de las Directivas, sobre todos los sujetos obligados tanto públicos como privados.

Desde Aemol Consulting nos ayudan a acercar la nueva normativa a las empresas tecnológicas reparando en los siguientes aspectos esenciales que, dado que a nuestro juicio:

– Refuerza el derecho de transparencia, por el que se obliga a proporcionar más información con carácter previo a la recogida de los datos y el derecho al olvido para solicitar que los datos personales sean suprimidos en determinadas circunstancias.
– Introduce la obligación de notificación a la Agencia Española de Protección de Datos (AEDP) y al interesado, dependiendo de la gravedad, aquellas brechas de seguridad (plazo máximo de 72 horas) que se produzcan y que supongan riesgo de daños y perjuicios fí­sicos, materiales o inmateriales para las personas fí­sicas.
– Impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologí­as, entrañen un alto riesgo para los derechos y libertades de las personas fí­sicas; y
– Prevé multas millonarias que pueden alcanzar los 20 millones de euros o hasta un 4% de la facturación anual, la cifra de mayor cuantí­a.

Además de estas cuestiones analizadas, desde Aemol Consulting consideran que las empresas tecnológicas también tendrán que tener en cuenta los siguientes aspectos esenciales a la hora de adaptarse a la la nueva normativa con respecto a la anterior, y que son:

1.- Auditorí­as Iniciales: Es importante, antes de iniciar la adaptación al Reglamento (UE) 2016/679, actualizar las polí­ticas, protocolos y textos relativos a la protección de datos, realizar una auditorí­a en la empresa que permita valorar los cambios necesarios y en qué punto se encuentra la empresa en cuanto al cumplimiento con la nueva normativa. Estas auditorí­as deberán llevarse a cabo por profesionales jurí­dicos expertos en protección de datos y por profesionales informáticos con conocimientos en ciberseguridad.
2.-Deber de información: El Real Decreto de protección de datos amplí­a la información que debe ser comunicada en el caso de los datos personales, y además de los derechos ARCO de acceso a la rectificación, cancelación y oposición añade otros nuevos como son la limitación o portabilidad.
3.- Análisis del riesgo: las empresas estarán obligadas a analizar las vulnerabilidades informáticas y posibles brechas de seguridad con el objetivo de impedir, bloquear o neutralizar los delitos informáticos. Este análisis requiere revisiones periódicas y siempre que cambien las circunstancias tecnológicas en la empresa o en el sector informático y teniendo en cuenta el estado de la técnica (art. 25 RGPD).
4.- Se establecerá la figura del DPO (Delegado de Protección de Datos), de obligatoria creación para las empresas que realicen tratamientos que requieran una observación regular y sistemática de los interesados a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos especiales o datos relacionados con delitos penales. El DPO podrá ser interno o externo y deberá ser designado atendiendo a las cualidades profesionales, conocimientos y práctica en materia de protección de datos.

Como vemos son muchas las novedades que nos trae este Reglamento, con lo que debemos ir trabajando en su incorporación siempre y cuando no sean contradictorias con la normativa que sigue vigente hasta mayo de 2018.

Artí­culo escrito por Vanesa González, del departamento Soporte Aemol Consulting, para WWWhatsnew.com

Salir de la versión móvil