No queda nada. Será el próximo 25 de mayo cuando el Reglamento General de Protección de Datos (RGPD) se empiece a aplicar en toda la UE y, con él, los nuevos derechos de los residentes europeos empiecen a ser los protagonistas de la nueva era de la cultura de la privacidad.
A partir de ese día, cualquier empresa que trabaje con datos personales tiene que disponer de las medidas técnicas y organizativas necesarias para cumplir con el Reglamento, de lo contrario, puede incurrir en multas de hasta 20 millones de euros o un 4% del total anual del ejercicio anterior de la organización, lo que sea mayor.
Las nuevas responsabilidades empresariales son muchas, sin embargo, destacamos cinco que son imprescindibles.
- El Delegado de Protección de Datos
El Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés) es una de las principales incorporaciones del RGPD. Aunque sus funciones no serán las mismas que las de las Autoridades de Control, será el encargad@ de garantizar el cumplimiento del Reglamento dentro de una organización.
Para ejercer esta labor, el DPO deberá tener conocimiento especializado en Derecho y protección de datos. Asimismo, sus funciones se recogen en el artículo 39 del RGPD.
- Cómo obtener el consentimiento del usuario
El modo de conseguir el consentimiento del interesado es uno de los procesos que más cambiarán con la nueva normativa. Las casillas premarcadas o la inacción ya no estarán admitidas como consentimiento válido, que debe ser claro e inequívoco. Además, el formulario de aceptación tiene que estar redactado en términos sencillos e inteligibles para el usuario.
La edad de recogida del consentimiento en menores también variará. El RGPD establece que el menor puede dar el consentimiento por sí mismo a los 16 años, sin embargo, cada país puede fijar su propia edad siempre respetando el límite inferior de 13 años.
- Transferencias de datos internacionales
Tal y como indica la Agencia Española de Protección de Datos (AEPD), una transferencia internacional “es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien si constituye una cesión o comunicación de datos o si tiene por objeto la realización del tratamiento de datos por cuenta del responsable del fichero establecido en territorio español”.
El RGPD señala que toda empresa que trate datos de ciudadanos europeos –independientemente de si su sede está fuera o dentro de la UE– tiene que ajustar sus políticas de transferencias internacionales al Reglamento.
- El encargado y el responsable de datos
No todas las empresas procesan internamente sus datos personales almacenados. Existe la posibilidad de contratar una empresa externa para realizar esta labor. En este caso, la empresa contratante será la responsable del tratamiento y la empresa contratada la encargada de los mismos.
La compañía contratante deberá cumplir en todo momento con los requisitos del RGPD para garantizar la privacidad de la información. De la misma manera, la relación entre ambas organizaciones debe formalizarse a través de un contrato o acto jurídico.
- Evaluaciones de Impacto
Las Evaluaciones de Impacto de Protección de Datos (EIPD) son uno de los principales indicadores del buen cumplimiento del Reglamento. No son obligatorias en todos los casos, pero sí son recomendables si se quiere minimizar el riesgo en el uso y tratamiento de datos.
La AEPD señala ocho fases principales en una EIPD: análisis de necesidad, descripción del proyecto y flujos de información, identificación de los riesgos, gestión de los riesgos, análisis del cumplimiento normativo, informe final, implantación de las recomendaciones y revisión.
Es importantísimo tener controlados todos los datos personales disponibles en la empresa, saber dónde están guardados, quién tiene acceso a ellos o si existe la posibilidad de que sufran una violación de seguridad. Para ello, te recomendamos este libro verde gratuito para saber entender sin dificultad el flujo de los mismo.
Descarga gratis tu diagrama del flujo de datos bajo el RGPD >>
Digital Marketing at IT Governance Ltd