Tal como comentábamos la semana pasada, uno de los aspectos más significativos del nuevo Reglamento de Protección de Datos (GDPR) es que su aplicación se extiende a cualquier empresa que recoja y procese datos personales de los ciudadanos de la Unión Europea. La ubicación geográfica de la empresa no es relevante.
A continuación detallamos algunos de los aspectos a los que debe atenderse para cumplir con la GDPR antes de su aplicación efectiva dentro de un año.
1. Consentimiento
Se deberá obtener el consentimiento de cada persona para almacenar y utilizar sus datos, explicando para qué serán utilizados.
2. El derecho al olvido
Los ciudadanos europeos pueden solicitar al responsable del tratamiento de datos la eliminación o borrado de sus datos personales; también podrán establecer la prohibición de compartirlos con terceros.
3. El derecho al acceso
Las empresas deberán proporcionar a las personas que lo soliciten una copia electrónica de los datos que poseen, así como informar sobre dónde están almacenados y con qué finalidad.
4. Protección de datos por defecto
Es un requerimiento que cambia por completo el concepto de privacidad, ya que este requisito deberá ser ahora incluido desde el inicio en el diseño de los procesos o de los servicios y productos.
5. Notificación obligatoria de filtraciones de datos
Las empresas contarán con un plazo de 72 horas para notificar a la autoridad correspondiente en el caso de producirse una brecha de seguridad que ponga en riesgo los derechos de las personas.
El riesgo de no cumplir con el nuevo reglamento
Las multas fijadas por la ley son considerables:
- En los casos más severos, pueden alcanzar los 20 millones de euros o el 4% de la facturación del año anterior, lo que sea más alto.
- Para aquellos casos de menor afectación, las multas son la mitad de las establecidas en el caso anterior (10 millones de euros o el 2%).
Esta regulación a nivel de la UE brinda seguridad legal así como también un ahorro en los costes, ya no existe la necesidad de consultas jurídicas en cada país donde opere una empresa.
Una manera adecuada de enfocar el cumplimiento del GDPR es tratarlo como un proyecto, llevar adelante una auditoría e invertir en herramientas que aseguren la conformidad a las nuevas reglas e impidan la pérdida de datos.
