11 de mayo de 2018

Utilizamos cookies analíticas propias, que nos informan sobre sus hábitos de navegación para mejorar la calidad de nuestros servicios y la experiencia de navegación. Si continúa navegando entenderemos que consiente en la instalación y uso. Para más información, visite nuestra política de cookies.

¿Qué debes conocer sobre la nueva legislación de protección de datos?

Comienza la cuenta atrás. El 25 mayo de 2018 empezará a aplicarse en España el nuevo Reglamento General sobre Protección de Datos (RGPD o GDPR, por sus siglas en inglés General Data Protection Regulation). Este reglamento, que entró en vigor en 2016 aunque la Unión Europea diera dos años de plazo para su plena aplicación, es de máxima importancia no solo para las entidades que tienen en los datos de sus clientes su core business. Su alcance es mucho más amplio y supondrá una pequeña revolución en la organización empresarial.

Con la aplicación del GDPR, empresas y organizaciones están llamadas a repensar el tratamiento de la información personal tanto de clientes como de empleados, con el objetivo de proteger y garantizar los derechos de los usuarios y aumentar la transparencia. Esto implica crear nuevas estructuras de gestión de datos, instituir nuevos departamentos y figuras profesionales, además de mejorar los procesos de seguridad y reportar sobre el tipo de información que se recopila, cómo se utiliza y de qué forma se almacena.

De no hacerlo, la legislación contempla multas de hasta 20 millones de euros o –cuando sea una empresa- de hasta el equivalente al 4% del volumen de negocio del ejercicio financiero del año anterior.

¿A quién va dirigida?

Hoy en día los datos son la materia prima de muchos negocios y un mal uso de los mismos puede comportar importantes violaciones de los derechos de los usuarios. A esto hay que añadir que vivimos en un mundo cada vez más interconectado, en el que inclusive empresas de importancia internacional han sido víctimas de ciberataques que han causado filtraciones de toda o buena parte de la información relativa a sus clientes.

Por ello, todas las empresas u organizaciones (aunque sean extranjeras) que manejen datos personales de ciudadanos europeos se verán afectadas por la nueva normativa, sin importar su tamaño o naturaleza. La información puede incluir nombres, números de teléfono, direcciones, correos electrónicos, datos financieros o laborales e, incluso, información genética o antecedentes penales.

El reglamento exige que se lleven a cabo tanto cambios tecnológicos como legales y de gestión. Por un lado, es necesario modificar la manera en la que se obtiene el consentimiento y cómo se trata la información recopilada. Por otro, el GDPR requiere que las empresas incrementen la protección de sus sistemas, gestionen mejor la información almacenada y apliquen medidas preventivas para frenar posibles ataques.

En España, una parte importante de las firmas que tendrá que cumplir con estos requisitos está representada por las pequeñas y medianas empresas (pymes), que conforman el 99% del tejido empresarial del país.

Más control y transparencia

Uno de los cambios más sustanciales de la nueva normativa está relacionado con el consentimiento al tratamiento de los datos. Esta aceptación, que ahora suele ser tácita, necesitará de un consentimiento expreso a través de una declaración del usuario o una acción positiva que manifieste su conformidad.

Existen sin embargo diferentes casuísticas. Por ejemplo, si se trata de datos sensibles, decisiones automatizadas o transferencias internacionales, el consentimiento tiene que ser obligatoriamente inequívoco y explícito. La información personal de los empleados, al contrario, se puede usar sin previo consentimiento, siempre y cuando sea necesario en el marco de la relación laboral. Los datos de salud, particularmente delicados, requieren por otra parte un consentimiento inequívoco del titular para ser utilizados.

Además, la información personal que los internautas hayan proporcionado solo podrá ser utilizada para el propósito inicial por la que fue recopilada. Si se verificara algún percance o violación a la seguridad de los datos, las compañías deberán notificarlo a la autoridad competente y al cliente –siempre y cuando la intrusión afecte a sus datos personales o su intimidad- en un plazo máximo de 72 horas. Si el problema fuera particularmente complejo existe la posibilidad de presentar la notificación fuera de plazo justificando el retraso.

Las empresas, asimismo, deberán conocer en detalle la información que mantienen en su poder. Algo sencillo en la teoría, pero complicado en la práctica. Según una encuesta realizada por la firma de software Compuware  en 2017 a directivos de Francia, Alemania, Italia, España y Reino Unido, entre otros países, un 32% de los entrevistados no era capaz de garantizar la localización de los datos de sus clientes.

Otro punto relevante de la legislación es que respalda el “derecho al olvido”; es decir, que un usuario pueda pedir que su información se elimine de la Red bajo determinadas circunstancias. Este aspecto está en línea con la postura de la Agencia Española de Protección de Datos (AEPD) y con la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), que en 2014 falló a favor de que los internautas puedan solicitar que los enlaces a sus datos personales no aparezcan en los motores de búsqueda.

¿Cómo se aplica el nuevo reglamento?

Todavía hay muchas dudas que planean sobre la aplicación del nuevo reglamento. La ley vigente exige que las empresas clasifiquen sus datos según el tipo de riesgo y en función de ello establezcan diferentes medidas de seguridad –detalladas en la normativa-. El nuevo reglamento, al contrario, solo exige que se apliquen medidas adecuadas a los riesgos sin concretar cuáles, en virtud del principio de “responsabilidad proactiva”.

El reglamento introduce además la Evaluación de Impacto de la Protección de Datos (Privacy Impact Assessments o PIA), obligatoria solo en algunos casos. Es una herramienta para analizar qué datos están en riesgo y, en función de ello, diseñar una estrategia de seguridad para que los procesos cumplan la ley en todos los proyectos.

Por otro lado, la nueva regulación exige también que las empresas de más de 250 trabajadores (organismos públicos, las que manejan habitualmente grandes cantidades de datos o cierto tipo de información sensible) cuenten con un delegado de protección de datos (DPO, por sus siglas en inglés), quien se encargará del análisis de riesgo, las notificaciones de seguridad y la evaluación de los registros de los clientes.

Actualmente, hay más de 4,6 millones de ficheros de titularidad privada inscritos en el Registro General de Protección de Datos en España; el 75% de ellos son de bajo riesgo y más del 90% están en manos de pymes. La Agencia Española de Protección de Datos (AEDP) ha puesto a disposición varias herramientas y guías para ayudar a las pequeñas y medianas empresas a cumplir con el reglamento.
 
Para muchas pymes, la nueva regulación supondrá grandes cambios y desafíos, tanto desde un punto de vista técnico como jurídico y organizativo. Por el otro lado, permitirá que los datos fluyan de manera segura dentro del espacio europeo, en el cuál se aplicarán los mismos estándares, y también contribuirá a la reforzar la confianza del consumidor.

Disclaimer:
La información suministrada en este documento está basada en criterios objetivos e información fiable, pero no constituye oferta, ni solicitud para comprar o vender productos financieros, quedando la opinión expresada en la fecha de emisión de este documento, sujeta a cambios experimentados por los mercados. Grupo Deutsche Bank no se responsabiliza de la toma de decisiones que se fundamenten en esta información.
Fuentes: Agencia Española de Protección de Datos (AEPD) y Compuware y elaboración propia.
© Queda prohibida la reproducción, duplicación, redistribución y/o comercialización, total o parcial, de los contenidos de este sitio, ni aun citando las fuentes, salvo con consentimiento previo por escrito de Deutsche Bank S.A.E. Copyright © 2018 Deutsche Bank Sociedad Anónima Española.  All rights reserved.
Deutsche Bank, S.A.E.-RM Madrid, T.28100, L. 0,F.1, S.8, hoja M506294, inscripción 2, -CIF . A-08000614.



Subscríbete ahora a nuestra newsletter semanal.

¡Suscríbete! Contenidos exclusivos para suscriptores

Deutsche Bank España
en Twitter

Si te ha gustado, compártelo: