Índice de contenidos
Contenido actualizado el día 05.12.2019.
La protección de datos en empresas es regulada por un conjunto de normas de obligado cumplimiento para toda entidad que haga un tratamiento de datos de carácter personal. En España, la protección de datos en empresas estaba regulada por la Ley Orgánica de Protección de Datos (LOPD), hasta la entrada en vigor del nuevo Reglamento General de Protección de Datos (GDPR), a partir del 25 de mayo de 2018.
Este cambio legislativo está introduciendo importante retos para que las empresas puedan cumplir con los nuevos requisitos en materia de tratamiento de los datos personales de sus usuarios y clientes. Sin embargo, una investigación de IDC puso en evidencia que, a febrero de 2018, el 65% de las empresas españolas todavía no podía garantizar su cumplimiento. Este dato es alarmante, sobre todo considerando las fuertes sanciones que se aplicarán las organizaciones que no cumplan, y que pueden llegar hasta al 4% de su facturación global anual, o a 20 millones de euros. Es importante subrayar que estas sanciones aplicarán tanto a los responsables del tratamiento como a los encargados, lo que obliga al cumplimiento del GDPR a los proveedores de servicios cloud.
Protección de datos empresas: ¿de qué se trata?
Cuando hablamos de protección de datos de carácter personal, nos referimos tanto a los derechos de las personas físicas, como a las obligaciones de las empresas que lleven a cabo un tratamiento de sus datos.
El nuevo reglamento considera datos personales, aquella información que puede identificar una persona física de forma directa o indirecta, como, por ejemplo:
«Un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.»
La protección de datos de carácter personal es un derecho recogido en la Carta de los Derechos Fundamentales de la Unión Europea.
Por otro lado, en el texto de la Ley, se considera tratamiento de datos personales a cualquier operación realizada sobre esta información, como:
«la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.»
Protección de datos empresas: ¿me afecta?
Las obligaciones en materia de protección de datos afectan a cualquier empresa o entidad pública o privada que lleve a cabo un tratamiento de datos personales. En particular, los autónomos también deben cumplir con la normativa.
Además, el nuevo reglamento, amplia el concepto de datos personales, que ahora incluirá también identificadores en línea (como las direcciones IP), además de las categorías ya previstas anteriormente.
Otra novedad es que serán sujetas a la nueva norma también organizaciones ubicadas fuera de la UE, si procesan y mantienen los datos personales de usuarios que residen en la Unión. Estas organizaciones se verán obligadas a nombrar un representante en la Unión Europea, que actuará como punto de contacto con las autoridades de control y con los ciudadanos de los diferentes Estados miembros.
¿Qué derecho tienen mis clientes?
La normativa de protección de datos establece que cada persona física puede ejercer ante el responsable del tratamiento una serie de derechos, los que en la anterior normativa se conocían como derechos ARCO, y que el GPDR amplía:
- Acceso: derecho a dirigirse al responsable del tratamiento para conocer si está tratando o no datos de carácter personal de la persona.
- Rectificación: derecho a obtener la rectificación de los datos personales que sean inexactos.
- Oposición: derecho a oponerse a que el responsable realice un tratamiento de los datos personales.
- Supresión: derecho a la supresión de los datos de carácter personal, también llamado “derecho al olvido”.
- Limitación del tratamiento: nuevo derecho introducido por el GDPR a obtener la limitación del tratamiento de los datos que realiza el responsable.
- Portabilidad: nuevo derecho a la recuperación de los datos personales en un “formato estructurado, de uso común, de lectura mecánica e interoperable” para transmitirlos a otro responsable del tratamiento, también de forma automática, si técnicamente posible. Además, las personas pueden solicitar en cualquier momento confirmación sobre el procesamiento de sus datos personales y su finalidad, además de poder obtener sin coste una copia de los mismos.
- Derecho a no ser objeto de decisiones individuales automatizadas, para garantizar a que la persona no sea objeto de una decisión basada únicamente en el tratamiento de sus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre él o le afecte significativamente de forma similar.
- Información: derecho a ser informado sobre la recolección de datos de carácter personal. La nueva normativa recomienda facilitar la información por capas: información básica en el momento de recogida de datos personales e información adicional en un segundo momento.
¿Qué novedades introduce la nueva Ley?
Además de una ampliación de los derechos de las personas físicas, que vimos en el anterior apartado, el nuevo Reglamento General de Protección de Datos (GDPR) introduce otras novedades:
- Una nueva manera en que se entiende el consentimiento de los usuarios al tratamiento de sus datos, que necesita ahora ser “no ambiguo” y “explícito”. Esto quiere decir, en primer lugar, que las empresas deberán simplificar los textos explicativos utilizando un lenguaje claro y sencillo, evitando la jerga legal. Por otro lado, ya no se podrán utilizar casillas marcadas por defecto o basar la aceptación en la inacción del usuario. También se deberá solicitar el consentimiento para cada finalidad del tratamiento, si existen varias.
- La obligación a la transparencia frente a incidentes de seguridad. Las empresas dispondrán de un límite de 72 horas– salvo casos especiales – para notificar cualquier violación de datos personales a las autoridades nacionales de control y a las personas afectadas. De esta manera, estarán obligadas por ley a ser transparentes frente a sus clientes, lo que introduce un reto muy importante, teniendo en cuenta lo perjudicial que puede ser un incidente de seguridad mal gestionado para la reputación y el valor de la marca.
- La obligación de la protección de datos desde el diseño y por defecto. Otro gran reto para las empresas es representado por el gran esfuerzo que tendrán que llevar a cabo para cumplir con los principios de protección de datos desde el diseño y por defecto. Adecuarse a estos principios supone llevar a cabo un rediseño de los productos y servicios teniendo en cuenta el derecho a la protección de datos para, por ejemplo, reducir al máximo el tratamiento de datos personales, o la seudonimización de los mismos.
- El Delegado de Protección de Datos. Esta nueva figura es el responsable de informar y asesorar a todos los empleados de la organización sobre las obligaciones a que están sujetos por la normativa, además de supervisar su cumplimiento y actuar como punto de contacto con la autoridad competente. Este profesional debe gozar de cierta independencia, estando obligado a rendir cuenta únicamente a la alta dirección. Sin embargo, esta nueva figura no es necesaria en el caso de organizaciones no públicas, o de que el tratamiento no requiera una observación habitual y sistemática a gran escala de los usuarios, o que no se estén tratando a categorías especiales de datos personales, como los relacionados con la salud o las creencias religiosas y políticas.
- Finalmente, la nueva normativa da especial protección a la gestión de la información personal de menores de edad, especialmente en relación a las redes sociales e Internet.
Los 6 pasos para cumplir con el GDPR
Cumplir con el nuevo reglamento de protección de datos no es sencillo ni rápido. Para ello, la Agencia Española de Protección de Datos, ha puesto a disposición de las organizaciones una gran cantidad de recursos, manuales y guías, así como una práctica hoja de ruta en seis pasos, para aquellas empresas privadas que necesitan adaptarse al reglamento:
- Designar el Delegado de Protección de Datos, si estamos obligado a ello, o, en caso contrario, identificar en nuestra organización a las personas responsables de coordinar la adaptación.
- Elaborar un registro de todas las actividades de tratamiento que llevamos a cabo.
- Realizar una análisis de riesgos, que incluya actividades para identificar, evaluar y mitigar el riesgo.
- Revisar nuestras medidas de seguridad a la luz de los resultados del análisis de riesgos
- Establecer aquellos mecanismos y procesos para la notificación de los incidentes de seguridad y violaciones de datos personales.
- Si la análisis de riesgos lo motiva, llevar a cabo una Evaluación de Impacto en la Protección de Datos (EIPD), para evaluar los potenciales riesgos a los que están expuestos los datos personales según las actividades de tratamiento que llevamos a cabo.
Conclusión
Hemos visto un resumen de lo que implica cumplir con el nuevo Reglamento General de Protección de Datos. Sin embargo, las empresas españolas deberán también tener en cuenta su transposición en la normativa española, que se está tramitando ahora mismo en el Parlamento y que se materializará en una nueva Ley Orgánica de Protección de Datos de Carácter Personal. La nueva Ley definirá mejor los distintos aspectos del Reglamento, facilitando su cumplimiento.
Material relacionado
Artículos
- Cómo el nuevo GDPR impulsará el cumplimiento normativo
- Qué es la CLOUD Act, y cómo afecta a la privacidad de los datos
eBooks
- GDPR, Nuevo Reglamento General de Protección de Datos
- Chief Data Officer: La figura que transformará tu empresa
