Conoce las Claves sobre la Nueva Ley de Protección de Datos

El nuevo Reglamento General sobre la Protección de Datos (RGPD o GDPR, por sus siglas en inglés General Data Protection Regulation) entra en vigor el lunes 28 de mayo y existen una serie de factores a tener en cuenta si tienes una empresa.Con la entrada en vigor del GDPR, tanto las empresas como las organizaciones se verán obligadas a replantearse su tratamiento de la información personal de clientes y empleados por igual, con el fin de poder garantizar sus derechos y aumentar la transparencia. Esto conllevará la creación de nuevas estructuras de gestión de los datos y la información, nuevos departamentos y perfiles profesionales, la creación de procesos de seguridad más eficientes y la necesidad de comunicar de manera más clara el tipo de información que se recopila, el uso que se le da a dicha información y de qué manera se almacena.De no cumplirse estas directrices, la nueva legislación contempla sanciones económicas cuyo valor puede ascender hasta los 20 millones de euros, o en el caso de una empresa, hasta el equivalente del 4% de su volumen de negocio en el ejercicio financiero anterior.

¿A quién afecta?

El nuevo reglamento afectará a todas las empresas y organizaciones (nacionales o extranjeras) que tengan acceso a datos personales de ciudadanos europeos, sin tener en cuenta su tamaño o la naturaleza de su actividad comercial. La información que se encuentra amparada por el GDPR incluye nombres, números de teléfono, direcciones personales, cuentas de correo electrónico, datos financieros o laborales, información genética e incluso antecedentes penales.El reglamento establece que de ser necesario, se tendrán que llevar a cabo cambios tanto tecnológicos como legales y de gestión. Esto quiere decir que por una parte será necesario modificar los procesos a través de los cuales se obtiene el consentimiento y con los que se trata la información obtenida. Sumado a esto, el GDPR exige que las empresas refuercen la seguridad para la protección de sus sistemas, mejoren la gestión de la información obtenida y almacenada y que tomen medidas de prevención ante posibles ciberataques.  Uno de los sectores empresariales que más afectado se verá por este nuevo reglamento será el de las pequeñas y medianas empresas (pymes) que en la actualidad suponen el 99% del tejido empresarial del país.

Transparencia y consentimiento

Uno de los cambios más importantes que introduce el nuevo reglamento está ligado directamente con el consentimiento para el tratamiento de los datos. Hasta ahora, el consentimiento del cliente solía ser tácito, sin embargo, a partir de ahora, será necesario un consentimiento explícito mediante el cual el cliente pueda manifestar su total conformidad. En el caso de transmisión de datos especialmente sensibles, decisiones automatizadas o transferencias internacionales, el consentimiento del cliente deberá ser inequívoco y explícito.Por el contrario, en el caso de la información de los empleados, su información personal podrá ser usada cuando sea necesario y dentro del marco de la relación laboral sin la necesidad de tener un consentimiento previo. En cuanto a la utilización de datos de salud especialmente sensibles, será necesario un consentimiento inequívoco por parte del titular de dichos datos.Asimismo, toda información de carácter personal que haya sido facilitada por los internautas, sólo podrá ser utilizada acorde con el propósito por el que fue obtenida y recopilada. En caso de detectar alguna anomalía o brecha en la seguridad de los datos, y en el caso de que afecte a los datos personales o íntimos de los clientes, se deberá notificar en un plazo máximo de 72 horas tanto a las autoridades competentes, como al cliente. Si el problema tuviese una naturaleza especialmente compleja, existirá la posibilidad de presentar la notificación fuera de plazo, presentando también una justificación para dicho retraso.Por otra parte, las empresas tendrán la obligación de conocer en detalle toda la información que posean. Esto que inicialmente parece sencillo, en realidad no lo es tanto. De acuerdo con una encuesta realizada por la empresa de software Compuware en 2017, a directivos de Francia, Alemania, Italia, España y Reino Unido, entre otros, el 32% de los entrevistados aseguraban no poder garantizar la localización de los datos de sus clientes.Otro aspecto relevante de la nueva normativa, es el hecho de que respalde el “derecho al olvido”, esto quiere decir que bajo ciertas circunstancias un usuario puede pedir que su información sea eliminada de la Red. Este aspecto concuerda con la postura de la Agencia Española de Protección de Datos (AEPD) y con la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), que en 2014 falló a favor de que los internautas tuviesen la opción de solicitar que los enlaces a sus datos personales no apareciesen en los motores de búsqueda.Para tener más información y saber la aplicación que se debe de hacer en las empresas, la Agencia de Protección de Datos ha publicado una guía útil con pautas que puede facilitar el conocimiento de la nueva legislación y si se está aplicando bien en las empresas. Puedes consultar esta guía en el siguiente link.