<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1500086133623123&amp;ev=PageView&amp;noscript=1">

RGPD, una esperada reforma de la normativa de protección de datos de la UE

Publicado el 7/03/17 8:20

El pasado 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos Personales (RGPD), una normativa europea de obligado cumplimiento y que implica una mayor concienciación sobre la privacidad de las personas y de las empresas. Será directamente aplicable a todos los Estados Miembros a partir del 25 de mayo de 2018, es decir, en poco más de un año.

RGPD GRPD 

Si bien plantea nuevas exigencias a las organizaciones, también aporta alguna ventaja, ya que ahora no hará falta realizar la inversión que hasta hoy se requería para adaptarse a las exigencias de un ordenamiento distinto del nacional, pudiendo evitar también el gasto de asesoría jurídica asociado.

DESCARGAR Guía: las 6 recomendaciones sobre Seguridad y IoT

Las organizaciones tendrán que adaptarse en los próximos meses a los requisitos que impone el RGPD.

Algunos de los cambios tienen que ver con:

  • Necesidad de designar una persona responsable de la protección de datos (el DPO o Data Protection Officer). El DPO deberá garantizar el cumplimiento del reglamento, notificando las violaciones de seguridad y tramitando las autorizaciones necesarias. Esta figura será obligatoria para organismos públicos y para aquellas empresas que gestionen datos personales a gran escala. 
  • Obligación de llevar al día un registro donde se concreten las actividades de tratamiento de datos personales.
  • Necesidad de llevar a cabo evaluaciones de impacto para todas las empresas se dediquen a actividades calificadas de alto riesgo en cuanto al tratamiento de datos que implican (datos sensibles).
  • Se amplía la obligación respecto al deber de informar a los usuarios y clientes y a partir de ahora el consentimiento del usuario debe ser explícito (antes era tácito).
  • Obligación de informar a la autoridad competente en el caso de que se produzca una brecha de seguridad en la empresa. Es decir, es el responsable de la protección de los datos dentro de la empresa quien debe notificar esta vulnerabilidad.

Las nuevas normas de la UE ofrecerán flexibilidad a las empresas a la vez que protegen los derechos fundamentales de las personas. Según datos de la Comisión Europea, “más del 90% de los europeos dicen que quieren los mismos derechos de protección de datos en toda la UE - e independientemente de dónde se procesen sus datos”. Para las empresas, será necesario tomar las medidas oportunas para alinearse con lo dispuesto en el RGPD, puesto que:

  • Las normas de la UE deben aplicarse, aunque los datos personales sean tratados en el extranjero, siempre que se trate de empresas que operan en el mercado de la UE y ofrecen sus servicios a los ciudadanos de la UE.
  • Las empresas y las organizaciones deberán notificar a la autoridad nacional de supervisión las infracciones graves de datos tan pronto como sea posible (en un plazo de 24 horas, si es factible, o de 72 horas como máximo).
  • Las autoridades nacionales competentes podrán sancionar a las empresas que violen las normas de protección de datos de la UE con multas de hasta un millón de euros o de hasta un 4% del volumen de negocios global anual de dichas compañías. 

Ahora queda mucho trabajo por hacer hasta tener claro qué directrices seguir para el diseño de un plan de contingencia que pueda aplicarse tras la exposición pública de las vulnerabilidades a que obligará la ley en pocos meses.

Además, a las organizaciones registradas en Europa les hará falta resolver todas sus dudas, como las relacionadas con qué se considera una violación de seguridad, cuándo empieza a contar el plazo de que se dispone para informar a los afectados, cuándo estamos ante una excepción, etc.

Es el momento, por tanto, de valorar empezar a definir el plan de contingencia de la mano de un colaborador tecnológico de confianza.

Hablaremos más delante de los aspectos más tecnológicos, de momento os dejamos el enlace al Reglamento (UE) 2016/ 679 del Parlamento Europeo y del Consejo.  

g

Os invitamos a seguir el Blog de Seguridad de Logicalis Spain y esperamos que nos acompañéis en este camino conjunto que iniciamos.