¿Qué significa el GDPR para las pymes?
Resuelve todas tus dudas sobre la nueva legislación en Protección de Datos
Llevamos meses oyendo hablar del GDPR, el nuevo Reglamento Europeo General de Protección de Datos que viene a revolucionar la manera en que se tratan los datos personales en las empresas y organizaciones. Sin embargo, entre tanto mensaje alarmista, existe aún mucha confusión: qué son exactamente datos personales, a quién afecta esta legislación, qué puede suceder si no se cumple… Vamos a intentar aclarar estos aspectos para que las pequeñas y medianas empresas establezcan cuáles van a ser sus siguientes pasos para adaptarse a la nueva normativa.
¿Qué es el GDPR?
Esta normativa, que parece ponerlo todo patas arriba, es un Reglamento Europeo que se aprobó en mayo de 2016 y cuya aplicación estaba prevista para dos años después, es decir, el próximo mayo de 2018. Su objetivo es el de crear un marco común entre las distintas legislaciones en protección de datos de los diferentes países miembros de la UE.
Así pues, se trata de una serie de normas que cada país puede incorporar a su propia legislación, como está haciendo España con la nueva Ley Orgánica de Protección de Datos, que se encuentra ahora mismo en tramitación parlamentaria. En el caso de que no se haya aprobado la norma interna antes del período marcado por el Reglamento Europeo, éste es de aplicación directa en los países miembros. Es decir, aunque la nueva Ley Orgánica española no se apruebe antes del 25 de mayo de 2018 (cosa que no parece que vaya a suceder), estas normas van a aplicarse igualmente a través del Reglamento Europeo.
¿Quién está obligado a cumplir con el GDPR?
El Reglamento afecta a toda organización, empresa, asociación, autónomo o administración pública que utilice datos personales de residentes en la Unión Europea, independientemente de dónde tenga su domicilio social.
Pero, ¿qué son exactamente datos personales?
Un dato personal es cualquier tipo de dato que permita identificar a una persona. ¿Y esto en qué se traduce en el ámbito de la empresa? Por ejemplo, son datos personales el nombre, apellidos, DNI, dirección, etc. de los empleados y de los clientes; los teléfonos de clientes potenciales que se recopilan a través de la web; los currículums que los interesados en trabajar en la empresa remiten por correo electrónico…
Además, existen también los denominados “datos especialmente protegidos”, entre los que se encuentran datos de salud y los referentes a ideología, religión, origen racial, vida sexual y comisión de infracciones penales y administrativas.
¿Qué sucede si no se cumple la legislación?
La Agencia Española de Protección de Datos, como autoridad de control, será la encargada de realizar los procedimientos sancionadores a las organizaciones que no cumplan la normativa. Ésta establece dos niveles de sanciones, según la gravedad del incumplimiento:
- Nivel 1: 2% del volumen de ingresos anuales de la empresa, o 10 millones de euros, el que sea mayor. Esto se aplicará, por ejemplo, en situaciones en las que la empresa no pueda demostrar una seguridad adecuada, no haya designado el DPO preceptivo o no haya establecido un acuerdo sobre el procesador de datos.
- Nivel 2: 4% del volumen de ingresos anuales de la empresa, o 20 millones de euros, el que sea mayor. Esto se aplicará si se han infringido los derechos de los sujetos de datos, como no contar con el consentimiento explícito del interesado o no atender sus solicitudes de acceso, rectificación, cancelación, oposición, portabilidad y olvido.
¿Cuándo es obligatorio designar un Delegado de Protección de Datos (DPO)?
El GDPR establece tres casos en los que será obligatoria la designación de un DPO:
- Cuando el tratamiento lo lleve a cabo una autoridad u organismo público
- Si las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que requieren una observación habitual y sistemática de interesados a gran escala
- Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales
Además, el proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, detalla más estos supuestos, llegando a hasta 15 casos, entre los que encontramos: Colegios Profesionales y sus consejos generales, centros docentes y Universidades públicas y privadas, entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten habitual y sistemáticamente datos personales a gran escala, prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio, entidades aseguradoras y reaseguradoras, empresas de servicios de inversión, entidades que desarrollen actividades de publicidad y prospección comercial, centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes o empresas de seguridad privada y servicios de detectives privados.
En cualquier caso, aunque no sea preceptivo designar un Delegado de Protección de Datos, siempre hay que nombrar un responsable de protección de datos.
¿Qué tiene que hacer el responsable de protección de datos?
Como principio fundamental, la nueva normativa requiere de las organizaciones proactividad en la privacidad de los datos. Para ello, el responsable de protección de datos debe realizar una serie de tareas con diversos grados de complejidad y dificultad. Esta complejidad dependerá de de la cantidad y la sensibilidad de los datos que se traten, entre otros factores. Entre ellas, y sin pretender realizar una enumeración exhaustiva, encontramos las siguientes:
- Elaborar el registro de actividades de tratamiento, teniendo en cuenta su finalidad y la base jurídica, y la privacidad del registro desde el diseño del mismo
- Realizar un análisis de riesgos
- Revisar las medidas de seguridad aplicadas, a la luz de los resultados del análisis de riesgos
- A partir de los resultados del análisis de riesgos, realizar una evaluación de impacto en la protección de los datos
- Establecer los mecanismos y el procedimiento de notificación a la Agencia Española de Protección de Datos de las brechas de seguridad
- Adecuar y adaptar los formularios y otros documentos que se utilicen en la organización al GDPR
- Elaborar o adaptar la política de privacidad
- Adaptar los mecanismos y procedimientos para el ejercicio de los derechos de los interesados
Hay que tener en cuenta que se trata de un trabajo dinámico: debe ser continuamente revisado y actualizado para asegurar la privacidad de los datos en todo momento. Por ello, es recomendable confiar esta tarea a consultores especializados en la materia y con experiencia en protección de datos.
digitalización procesos
Publicado 19:12h, 12 abrilMuy buen post,
gracias
Nicolás