Cómo afecta a las empresas el Reglamento europeo de Protección de Datos

El próximo mes de mayo entrará en vigor la nueva Ley Orgánica de Protección de Datos, cuyo proyecto ya ha sido aprobado por el Consejo de Ministros y que está basada en el Reglamento 2016/79 de la Unión Europea. Esta nueva norma está llamada a revolucionar la manera en que se tratan los datos personales en todas las organizaciones, puesto que otorga mucho más protagonismo a los ciudadanos propietarios de estos datos. De esta manera, se busca que sean las personas quienes tengan el control sobre sus datos: quién los tiene, con qué finalidad y durante cuánto tiempo.

Aunque se trata de una normativa europea, va a afectar a todo tipo de entidades a nivel mundial, puesto que están obligadas a su cumplimiento todas las organizaciones que utilicen datos personales de ciudadanos residentes en la Unión Europea, aunque operen desde otros países. Uno de los cambios más significativos que introduce es el endurecimiento de las sanciones en caso de incumplimiento: pueden llegar a los 20 MM € o hasta el 4% de la facturación anual de la compañía.

¿Cuáles son las principales obligaciones que introduce esta nueva legislación?

• A los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición) se añaden, a partir del próximo mes de mayo, el derecho al olvido y la portabilidad de los datos.
• Las entidades que utilicen datos personales deben comunicar a la autoridad competente cualquier violación en la seguridad de dichos datos en el plazo de 72 horas.
• Introduce la figura del DPO (siglas en inglés del Delegado de Protección de Datos), definido por la Agencia Española de Protección de Datos como el “garante del cumplimiento de la normativa de protección de datos en las organizaciones”.
• Las medidas de seguridad de los datos deben ser establecidas por el responsable de los mismos en cada entidad, en función del volumen y de la sensibilidad de los mismos. Además, los ficheros deben diseñarse teniendo en cuenta previamente estas medidas de seguridad.

¿Qué deben hacer las organizaciones para cumplir con la LOPD 2018?

Según indican los estudios publicados, solo en torno a un 10% de las empresas considera que ya está preparada para cumplir con este nuevo reglamento. Para esa gran mayoría que todavía no se ha adaptado a la nueva normativa, se recomienda seguir los siguientes pasos:

1. Conciencia y educar a los miembros de la organización que estén implicados en el tratamiento de los datos
2. Analizar el tratamiento de los datos en la organización: ¿qué tipo de datos maneja la empresa?, ¿son datos sensibles?, ¿cómo se recopilan estos datos?, ¿cómo se archivan?, ¿qué medidas de seguridad los protegen?
3. Establecer e implantar un nuevo sistema que asegure el cumplimiento de la normativa

¿Cómo puede ayudar la tecnología?

Para diseñar una política de protección de datos que asegure el cumplimento de la nueva normativa es necesario contar con el análisis de un consultor experto en protección de datos. Paralelamente, también existen soluciones de software que facilitarán esta tarea, ya que permiten:

• Tener un control real sobre la información almacenada, aunque esté en varios sistemas, y facilitar las auditorías posteriores
• Mantener un registro de los accesos y modificaciones de dichos ficheros
• Controlar la posibilidad de acceso de los empleados a los archivos mediante sistemas de autenticación
• Implantar la privacidad como una máxima desde el diseño inicial del fichero
• Implementar la gestión de versiones en el tratamiento de documentos sensibles en las compañías
• Garantizar la seguridad de la información mediante el cifrado de los datos

GDX Group pone a disposición de empresas y asociaciones consultores expertos en privacidad y seguridad documental que, además de revisar la adecuación a la normativa de dichas entidades, proporcionan asesoramiento sobre soluciones de gestión documental. De esta manera, ofrecemos una solución global al cumplimiento de la legislación en Protección de Datos.