privacidad-protección-de-datos

GDPR: qué es y cómo afecta a las empresas la nueva normativa de protección de datos

El próximo 25 de mayo de 2018 entrará en vigor el Nuevo Reglamento Europeo de Protección de Datos (GDPR). Esto implica que queda menos de un año para que las empresas que traten datos personales, que son todas, se adapten a esta normativa.

El GDPR es una normativa europea que afectará directamente a los procesos internos y externos de la empresa, ya que los cambios respecto a la actual LOPD del año 1999, obligarán a las compañías a adoptar nuevas formas de procesar y gestionar los datos personales que recaben, ya sean estos de empleados, de clientes o de posibles clientes.

No adaptarse al nuevo reglamento supone asumir un riesgo que puede salir muy caro, pues las empresas que no lo hagan pueden enfrentarse a sanciones de hasta veinte millones de euros, frente al máximo de 600.000 de la LOPD vigente en estos momentos.

El motivo de este cambio normativo viene provocado por la inmensa cantidad de datos personales que tratan las empresas en su día a día, y el aprovechamiento y beneficio que sacan de ellos. No en vano, se dice ya que los datos personales son el petróleo del futuro.

Por esta razón, se han modificado las reglas del juego, introduciendo múltiples cambios que afectan desde la propia forma de recabar el consentimiento de los interesados, hasta aspectos como la potenciación de nuevos derechos (derecho al olvido y derecho a la portabilidad de datos) que surgen debido a la intervención directa de la tecnología en casi cualquier proceso que realiza la empresa, donde suelen estar implicados datos personales de personas físicas.

Otra diferencia muy visible tiene que ver con las obligaciones que asume el Responsable de recabar y tratar los datos personales. Hasta ahora, al responsable le venían impuestas las medidas que debía tomar en función del tipo de datos que tratase y sus finalidades. Sin embargo, con la nueva normativa se le exigirá que sea proactivo, es decir, como nadie mejor que la Empresa Responsable sabe qué tipo de datos personales trata y qué usos le da, deberá ser ésta la que diseñe las medidas necesarias para garantizar una protección adecuada en todo momento.

En relación a esto, adquiere un papel fundamental la figura del DPO (Delegado de Protección de Datos), ya que será el encargado de realizar el seguimiento del cumplimiento del GDPR por parte de la empresa, en todo momento. Esta figura, pese a que no será obligatoria en todas las empresas, sí se vuelve más que recomendable para cualquier empresa, ya que velar por el cumplimiento de la normativa se hace inviable si no existe una persona a cargo especialista en la materia.

COMPARATIVA: LOPD vs GDPR

A continuación, se muestra una infografía en donde se recogen los principales cambios que introduce la nueva normativa europea (GDPR), respecto a la normativa actual (LOPD):

Diez preguntas clave para saber cómo afecta el GDPR a su empresa

  1. ¿La empresa realiza negocio B2B o B2C? ¿Almacena, recaba, trata o transmite datos personales, ya sean de clientes o registros de los empleados y/o proveedores?
  1. ¿Cuál es el tamaño de la empresa? ¿Cómo gestiona los datos de sus empleados internamente? ¿La empresa trata y gestiona datos sensibles o una cantidad a gran escala de datos personales?
  1. ¿Tiene proveedores que pueden acceder a los datos de sus clientes? ¿Qué tipo de contrato tiene con ellos? ¿Sabe si están adaptados al GDPR?
  1. ¿Tiene algún proceso que gestione los datos personales internos y de los clientes de la empresa? (ejemplos: CRM, ERP o Sistema de gestión documental)
  1. ¿Hay alguien dentro de la empresa que sea el encargado de gestionar la protección de datos? ¿Esta persona tiene conocimientos jurídicos relativos a la protección de datos?
  1. ¿A día de hoy, la empresa puede realizar un inventario de todos los datos personales que trata en todo momento? ¿La empresa puede demostrar que ha recabado el consentimiento de sus clientes, empleados y posibles clientes, de forma expresa y documentada?
  1. ¿Actualmente, la empresa tiene implantado las políticas y mecanismos para aplicar una privacidad desde el diseño a todos los nuevos proyectos, productos o servicios que se lleven a cabo?
  1. ¿A día de hoy, la empresa tiene implantada alguna metodología interna que cualquier empleado pueda avisar que se ha producido una brecha de seguridad?
  1. ¿La empresa realiza un análisis de riesgos y una evaluación de impacto antes de realizar un nuevo tratamiento de datos personales?
  1. ¿La empresa ha formado en materia de protección de datos sus empleados?