El nuevo Reglamento de Protección de Datos de la Unión Europea (GDPR) entrará en vigor dentro de un año. Cualquier empresa que ofrezca sus servicios o productos dentro de la UE se verá obligada a cumplirlo. Por esta razón, afectará no solo a las empresas de los países de la Unión, sino también a los encargados del tratamiento de datos en empresas ubicadas fuera de Europa.
Esta reglamentación fue diseñada para reforzar la privacidad de los datos de los ciudadanos europeos, así como para mejorar el tratamiento de estos datos en los casos de ciudadanos de la UE que residen fuera de su territorio.
Cuando llegue la fecha de implantación del GDPR, muchas empresas no estarán preparadas para este nuevo escenario. Vamos a comentar algunos de los escenarios y circunstancias que deberán revisar para ajustar sus procesos y cumplir con la nueva legislación europea de protección de datos.
1. Revisión de la circulación de datos entre países
Las transferencias de datos entre cualquiera de los 28 miembros de la Unión Europea continúan permitidos. Esta lista incluye también a Islandia, Noruega y Liechtenstein. Para otros países del continente con adecuados niveles de protección tampoco hay restricciones. En el caso de países fuera de esa zona, se deberán tomar resguardos como incluir cláusulas contractuales según los modelos de contrato de la UE o normas corporativas vinculantes.
Los encargados de datos de las empresas con sede en la UE deberán asimismo velar por el cumplimiento de los nuevos controles incluidos en el GDPR para la selección de empresas con sede fuera de la UE dedicadas al procesamiento de la información.
2. Preparación para el manejo de incidencias
Los ciudadanos cuentan ahora con más derechos incluidos en el nuevo reglamento, incluyendo el derecho al olvido o el derecho a ser informados ante una filtración de datos. Resulta indispensable entonces que las empresas formen adecuadamente al personal para gestionar tanto incidentes relacionados con filtraciones como el ejercicio de los derechos individuales mencionados.
3. Responsabilidad por los procesos que involucren el tratamiento de datos personales
Hay aún pocas compañías que tengan claramente identificados todos los procesos en donde existe el tratamiento de datos personales. Es de destacar la relevancia de definir la calidad de los datos y las limitaciones de su propósito al recogerlos para cualquier actividad, y agregar así transparencia al proceso.
Por otra parte, el GDPR requiere el consentimiento expreso de la persona para registrarse y dejar sus datos. Esta necesidad obligará a desarrollar técnicas optimizadas para que dicho consentimiento (o la revocación del mismo) quede claramente expresado.
4. Nombramiento de un delegado de protección de datos (DPO)
Según el tipo de actividad o el uso que las empresas hagan de los datos personales puede ser aconsejable contar con un perfil especialista en protección de datos. El requerimiento para contar con un DPO tiene que ver con la cantidad y la calidad de los datos personales que se manejen, sean estos los de sus propios empleados o los de sus clientes. En el caso de empresas u organismos del sector público deberán contar con un DPO en forma obligatoria.