A partir del 25 de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) será de obligado cumplimiento para empresas, administraciones y entidades en la Unión Europea. La cuenta atrás ha comenzado y las compañías deben actualizar sus procedimientos y el tratamiento de datos personales de sus usuarios o clientes.
Se trata de una normativa que llega en un momento crítico por el creciente número de ataques cibernéticos producidos (ramsonware, malware, phising…) en un entorno cada vez más interconectado. En muchos casos, existen ciertas vulnerabilidades de sistemas y recursos informáticos que pueden permitir el acceso a datos de muy diversa índole, pudiendo poner en peligro la privacidad de miles de usuarios.
De este modo, el RGPD se incorpora para dotar al usuario del poder de decisión sobre el uso de su información personal, datos cuyo valor ha aumentado a un ritmo muy acelerado en los últimos años, en parte por la capacidad que las nuevas tecnologías otorgan para personalizar la experiencia de usuario –se ha estimado que el mercado de datos generará más de medio billón de dólares hasta 2024-.
Y para garantizar una actualización de los protocolos de seguridad, el RGPD establece unas sanciones más restrictivas que la LOPD, con multas administrativas de entre 10 y 20 millones de euros o cuantías situadas entre el 2-4% del volumen de negocio anual total.
Estas son las cinco novedades más destacadas:
1. Análisis previo
Será fundamental realizar un primer análisis sobre los datos tratados en la compañía, el objetivo de su uso y el tratamiento requerido para garantizar la privacidad marcada por la normativa legal. Las entidades deberán registrar de manera previa las evidencias de cumplimiento del RGPD, recalcando así su responsabilidad proactiva y la transparencia de toda compañía.
2. Incorporación de nuevos derechos
El nuevo reglamento incorpora nuevos derechos del ciudadano:
• Derecho de portabilidad: se refiere al derecho de todo ciudadano de solicitar al responsable de tratamiento de datos la recepción de los mismos en un formato estructurado, de uso común, para su correcta transmisión a otro responsable de datos. Asimismo, se establece el plazo de un mes para responder a una solicitud de portabilidad.
• Derechos ARCO: con este acrónimo se hace referencia al derecho de Acceso, Rectificación, Cancelación y Oposición que todo usuario tiene.
• Derecho al olvido: el ciudadano puede solicitar al responsable del tratamiento de datos que éstos sean eliminados, así como solicitar el bloqueo de informaciones desactualizadas, incompletas o falsas en buscadores.
• Derecho de limitación de tratamiento: el usuario puede solicitar la limitación del tratamiento de sus datos.
3. Información completa y consentimiento: A partir de ahora será obligatorio establecer un consentimiento libre, informado, específico e inequívoco, dejando de lado el consentimiento tácito o eliminando la posibilidad de aceptar el silencio del ciudadano como aceptación. Todos los procedimientos y formularios deberán incorporar este requisito. En el caso de los menores de 16 años, será necesario contar con el consentimiento de los padres para recoger, procesar o almacenar dichos datos.
Asimismo, las empresas deben informar del tratamiento de los datos, el plazo durante el que quedarán registrados y el lugar al que el ciudadano puede dirigirse para poner una reclamación al respecto. Del mismo modo, las empresas están obligadas a informar a las autoridades de las violaciones de seguridad de estos datos, y a los ciudadanos si supusiese algún riesgo para ellos, dentro de las 72 horas posteriores a la fuga de información.
El lenguaje deberá ser claro y sencillo, de forma concisa, transparente, inteligible y de fácil acceso.
4. Figura del responsable de datos
El encargado del tratamiento de datos, que deberá contar con la colaboración de todos los responsables de la organización, se encargará de registrar las actividades de tratamiento y de establecer las medidas de seguridad exigidas. Asimismo, nombrará al delegado de protección de datos, que deberá contar con todos los recursos necesarios para el adecuado desarrollo de esta protección.
5. Ventanilla única
Cuando una empresa esté presente en diferentes países de la Unión Europea, ésta deberá responder ante la autoridad de protección de datos nacional del país donde se encuentra su sede principal, autoridad que se encargará del seguimiento de actividad, de la recepción de reclamaciones o de la imposición de las correspondientes sanciones. En todo caso, se puede acudir siempre al Comité Europeo de Protección de Datos, integrado por todos los directores de las autoridades de protección de datos de los países de la UE.
Las empresas no pueden descuidar la confianza digital de los usuarios, y deben dotarles de un control completo sobre sus propios datos, pues la fiabilidad de una plataforma se traducirá en una mayor confianza y, por tanto, en una mayor satisfacción del cliente.
>> Toda la normativa aplicable en materia de ciberseguridad en nuestro país está compilada en el Código Electrónico de Ciberseguridad del Boletín Oficial del Estado y que puedes consultar aquí.