El nuevo Reglamento General de Protección de Datos (RGPD) será aplicable a partir del 25 de mayo de 2018, viniendo a sustituir a la anterior normativa en materia de protección de datos, la Ley de Protección de Datos (LOPD).
¿EN QUE AFECTA A LAS EMPRESAS?.
Afecta a cualquier empresa que utiliza datos personales de los clientes, independientemente del volumen, la actividad o la digitalización.
¿COMO AFECTA A LAS EMPRESAS?.
Haciendo un resumen y como principales novedades del RGPD encontramos:
1.- Intensificación de los datos especialmente protegidos (salud, creencias religiosas, ideología política, raza etc). Se refuerzan las medidas para que estos datos no puedan ser asociados con personas identificadas o identificables.
2.- Se elimina el concepto de “antiguos ficheros” y se sustituye por Registro de Actividades de Tratamiento, mediante el cual, se obliga al responsable de los datos a llevar un registro de las actividades de tratamiento realizadas bajo su responsabilidad.
3.- Se exige siempre consentimiento expreso. Anteriormente, se aceptaba el consentimiento tácito. Con el nuevo Reglamento se sustituye por el consentimiento expreso.
4.- Derecho a la portabilidad de los datos. El cliente puede exigir que de forma automática se trasladen los datos por él facilitados de una empresa a otra. El claro ejemplo está en los servicios ofrecidos por las compañías bancarias y de telefonía móvil, cuando exigían anteriormente la rescisión o cancelación de los contratos para proceder a la portabilidad de datos. Ahora no será necesario, ya que se podrá solicitar la portabilidad, sin necesidad de rescindir.
5.- Evaluación de impacto. De este modo, se sustituyen las auditorias anuales, por la anticipación de los riesgos y la aplicación de medidas correctoras.
6.- Delegado de Protección de Datos, o la persona encargada de garantizar el cumplimiento de la normativa de protección de datos en las empresas. Podrá ser interno o externo a la empresa, persona física o persona jurídica.
Será una figura obligatoria en estos casos:
- Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.
- Cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala.
- Cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.
Los profesionales en materia de protección de datos aconsejan invertir en formación y concienciación, ya que no hay que olvidar que el principal agujero de seguridad detectado en el uso de los datos radica en los procesos internos de la empresa y no tanto en agentes externos.