El nuevo Reglamento de Protección de Datos y cómo afectará a tu negocio

Aunque el Reglamento General de la Unión Europea de Protección de Datos (RGPD) entró en vigor en 2016, será aplicable a partir del 25 de mayo de 2018. A partir de esa fecha, todas las empresas están obligadas a cumplirlo.

A pesar de la moratoria de dos años para ir adaptando nuestras políticas al nuevo reglamento, no son pocas las empresas que han apurado el plazo y es ahora, a pocos meses vista de la fecha límite cuando están abordando a marchas forzadas esta tarea.

Principales cambios respecto de la normativa actual en materia de Protección de Datos

1. Este reglamento incorpora cambios sustanciales en la aplicación de la normativa de protección de datos en la empresa y exige un cambio cultural a las organizaciones a la hora de tener que definir y aplicar las medidas de seguridad al tratamiento de los datos personales de sus empleados, clientes, empleados y relaciones con terceros.

El primer paso que tendrá que realizar el responsable del Tratamiento de los Datos Personales será identificar sus procesos de negocio y elaborar un Inventario de Tratamiento de Datos Personales, aplicando el principio de responsabilidad proactiva y un enfoque basado en riesgos para definir e implementar las medidas de seguridad técnicas y organizativas que resulten adecuadas para garantizar la privacidad de los datos personales existentes en su organización.

2. A los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) se añaden el derecho al olvido, el derecho a la portabilidad de los datos y el derecho a la limitación de tratamiento, por lo que el responsable del Tratamiento de los Datos, así como los Encargados de los Tratamientos que pudieran confluir, deberán adecuar sus protocolos de actuación para la atención de los nuevos derechos de los interesados y posibilitar su gestión.

3. Desaparece la posibilidad de realizar tratamientos de datos personales basados en el “consentimiento tácito”, y a partir de ahora el consentimiento de los titulares de los datos deberá ser “inequívoco”, por lo que se refuerzan las fórmulas de obtención del consentimiento de manera expresa, y su formulación en positivo.

4. La mayoría de las empresas deberán incorporar en su organización la figura del Delegado de Protección de Datos (DPO si las siglas son en inglés o DPD en español) y en determinados casos, fundamentalmente cuando se vayan a tratar datos especialmente sensibles (categorías especiales de datos, tales como, afiliación sindical, datos genéticos, datos biométricos y datos relativos a la salud) y/o manejen un volumen de datos a gran escala, deberán realizar Evaluaciones de Impacto en materia de Privacidad (PIA).

La figura del DPO no es obligatoria para todas las empresas, pero sí para las Autoridades y Organismos Públicos, así como para las empresas o entidades que, como actividad principal, realicen un seguimiento de personas de forma sistemática y a gran escala, procesen categorías especiales de datos personales a gran escala.

Sanciones que nos pueden imponer en caso de incumplimiento

Finalmente, conviene advertir del fuerte endurecimiento del régimen sancionador en caso de incumplimiento de la normativa de protección de datos ya que el Reglamento General de Protección de incorpora la posibilidad de imponer sanciones económicas que podrían alcanzar hasta los 20 millones de euros o el 4% de la facturación de la empresa.