Reglamento GDPR: novedades y cambios en la protección de datos.

[kkstarratings]

No me cabe duda de que habrás oído hablar hasta la saciedad de la GDPR. Este reglamento europeo, sin embargo, no es algo nuevo dado que entró en vigor hace dos años (abril de 2016). Pero, ¿realmente conocemos en qué consiste la nueva normativa de protección de datos? El próximo 25 de mayo acaba el periodo de transición para adaptarse. A partir de entonces serán de obligado cumplimiento todas las exigencias recogidas en dicho reglamento. Cualquier empresa que maneje datos personales de clientes o proveedores deberán adaptarse si operan dentro de la UE, tenga o no su sede en territorio europeo.

Así quiere darse un mayor control de la información personal a sus titulares, incluyendo por primera vez datos biométricos y genéticos a nivel legislativo. La proliferación de Redes Sociales y buscadores, junto con recientes escándalos de seguridad, han hecho que las instituciones muevan ficha para dar mayor transparencia sobre su tratamiento ante el usuario. Ahora bien, ¿qué implicaciones tendrá tanto para empresas como para usuarios?

Las principales novedades del GDPR.

GDPR ha pasado a ser más que un conjunto de siglas durante las últimas semanas. Esta nueva legislación obligará a las compañías e instituciones de la UE a cambiar el procesamiento y gestión de los datos de sus clientes. Este reglamento, en realidad, no sustituye a nuestra actual Ley de Protección de Datos (LOPD). Lo que supone es la tramitación de una reforma en el Congreso que recoge las nuevas exigencias de la normativa europea. Una vez adaptada la ley en el ámbito nacional, pasará a ser el texto de referencia para toda empresa que opere en España. ¿Cuáles son las principales novedades del GDPR? Se hace un especial énfasis en el consentimiento explícito, dado a través de una información accesible y con lenguaje claro y sencillo.

A continuación, algunos de los principales cambios recogidos en la nueva legislación:

► Consentimiento del usuario.

Ahora no valdrá con el consentimiento tácito del usuario. La GDPR requerirá aprobación expresa del usuario para tratar sus datos con una finalidad específica. Además, las empresas no podrán usar la típica maraña legal de Términos y Condiciones.

► Derecho de acceso a los datos.

Cualquier usuario interesado en el tratamiento de sus datos podrá solicitar información al respecto. De este modo podrá conocer su finalidad, clasificación, derecho de rectificación o supresión, limitación de uso, etcétera. En caso de negativa por parte de la empresa, cualquier usuario podrá reclamar ante la autoridad pertinente (Agencia Española de Protección de Datos – AEPD).

► Derecho al olvido.

Queda reconocido el derecho del usuario a que sea eliminada su información personal de buscadores y páginas web. No obstante, se contempla una excepción: que los datos sean de interés público general.

► Portabilidad de datos.

Cada persona podrá obtener y reutilizar sus datos personales cuando cancele un servicio. De este modo, se reconoce la transmisión de dichos datos a otra compañía. Este punto afecta de lleno, por ejemplo, a las Redes Sociales.

► Comunicación inmediata en fallos de seguridad.

Toda empresa deberá comunicar brechas de seguridad en un plazo de 72 horas. Esta comunicación se realizará ante las autoridades y de forma pública ante usuarios afectados por la vulnerabilidad de sus datos. La empresa afectada difundirá información periódica en medios de comunicación.

¿Qué tiene que hacer mi empresa?

Como no podía ser de otro modo, es muy probable que muchas empresas lleguen al 25 de mayo con los deberes sin hacer. La pregunta es si la mayoría de empresas conocen realmente los cambios que deben acometer para adaptarse a este cambio. En caso de incumplimiento, las sanciones se endurecen notablemente respecto a la LOPD vigente hasta ahora. Las multas pueden alcanzar los 20 millones de euros o un 4% de la facturación global de la empresa. Hasta ahora el máximo se establecía en 600.000€ de sanción.

Ahora bien, este cambio puede significar una oportunidad para las empresas que decidan aportar valor con su adaptación a la GDPR. Ante todo, cualquier empresa deberá custodiar adecuadamente la información del usuario. Las copias de seguridad deben convertirse, por tanto, en algo obligatorio y protegido mediante cifrado ante intrusiones. Este tipo de cifrado no supondrá gran inversión si lo comparamos con la posible sanción por incumplir la norma.

Otra de las claves está en el consentimiento del cliente: asegúrate de que sea expreso y revocable. Sería también muy aconsejable realizar auditorías periódicas que permitan comprobar si existe algún tipo de mejora respecto al tratamiento de datos. Además, la formación del personal que trate dichos datos pasa a ser básica, así como tener un protocolo de protección ante vulnerabilidades. Por último, son muchas las medidas de seguridad que pueden implementarse: verificación en dos pasos, cifrado de documentos, cambio periódico de contraseñas, etcétera. ¿Todavía queda alguna duda? En ese caso, no dudes en ponerte en contacto con la Agencia Española de Protección de Datos.