La mitad de las pymes no están preparadas para adoptar la nueva privacidad.

El nuevo Reglamento Europeo de PROTECCIÓN DE DATOS, será aplicable a partir del próximo 25 de mayo.

El 25 de mayo de 2016 entró en vigor el nuevo reglamento general de protección de datos (RGPD). Sin embargo, y dados los importantes cambios que hay que realizar, la Unión Europea dio dos años de plazo hasta que comenzara su plena aplicación.

El nuevo Reglamento hace hincapié en el principio de la responsabilidad proactiva de las empresas, que se deben adaptar y adecuar en cada momento al tipo de datos que manejan y los tratamientos que realizan. La nueva normativa también prevé sanciones mucho más duras, se han incrementado de manera exponencial las posibles multas hasta un máximo de 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio anterior.

No obstante, según un estudio de Sage más de la mitad de las pymes españolas no están familiarizadas con el reglamento. Además más de un tercio reconoce que no estarán listas a tiempo y un 22% afirma no tener los recursos necesarios para adaptarse a esta nueva regulación. Todo ello choca con que más de un 60% de las pymes afirmen que están preocupadas por las sanciones que pueda suponer su incumplimiento.

Recordamos quienes estan obligados a cumplir con el nuevo reglamento

Cualquier autónomo o empresa, con independencia de su tamaño o sector siempre que utilicen datos de personas de cualquier parte de la Unión Europea.

Todo uso y tratamiento de datos debe tener una base legítima ya sea el consentimiento explícito del interesado, una ejecución contractual, una habilitación legal, un interés vital, un interés público o un interés legítimo. En cuanto al consentimiento explícito, el empresario debe especificar para qué se van a usar esos datos, indicando por separado cada actividad para la que se van a usar y con un límite temporal para cada una. Debido a este cambio, las empresas deberán renovar los consentimientos.

Que debemos tener en cuenta para ponernos al día

Análisis de riesgos: Un programa estándar ya no vale para asegurarse de cumplir con el RGPD. Tanto es así, que en el caso del tratamiento de datos especialmente sensibles es necesario llevar a cabo un análisis de riesgos y evaluaciones de impacto. Se trata de la vía más óptima para baremar los posibles peligros y diseñar las medidas adecuadas según su nivel.

Almacenamiento de los datos: A partir del 25 de mayo, los datos tienen que almacenarse siempre de manera anónima y bajo seudónimo. Por lo tanto, las empresas deben adaptar sus sistemas para que el archivo de estas informaciones se haga de esta forma.

Obtención del consentimiento: Una de las principales novedades del RGPD es el cambio en la obtención del consentimiento de los interesados: "Ya no será posible el tratamiento de datos basados en consentimientos tácitos, sino que será necesario disponer del consentimiento expreso, explícito y específico de los interesados". Por lo tanto, si no hay una declaración del interesado, es necesario, al menos, una acción positiva mediante la cual manifieste su conformidad. Para conseguirlo, el plan es claro, aunque puede llegar a ser una tarea ingente dependiendo del volumen de información. Así, en primer lugar, los responsables del tratamiento deben revisar los consentimientos que ya tienen para eliminar aquellos datos que ya no sean necesarios. Después, deberán recabar el consentimiento expreso de aquellos datos, cuyo tratamiento se desee mantener. Como último paso, hay que modificar las cláusulas informativas de recogida del consentimiento para la futura información que se quiera guardar.

Información más completa: A partir del 25 de mayo, la información que se dé a los usuarios debe ser mucho más completa, detallada y específica a la que se facilitaba hasta ahora con la anterior Ley Orgánica de Protección de Datos 15/1999. Sin embargo, el RGPD, consciente de que las cláusulas podrían llegar a ser excesivamente extensas, permite que la información se facilite en dos capas: una primera con la más básica en el momento de la obtención del consentimiento, para después ofrecer información adicional específica y detallada, como puede ser la identificación del delegado de protección de datos, transferencias internacionales o cesiones, entre otros.

Ejercicio del derecho de los interesados: El RGPD introduce también novedades en relación a los derechos de los interesados y el proceso de ejercicio de los mismos: se acuñan algunos nuevos, como son el derecho a la portabilidad de los datos o el derecho al olvido, los responsables del tratamiento deben comenzar a implementar sistemas y mecanismos (electrónicos en la medida de lo posible) a fin de facilitar a los interesados precisamente el ejercicio de sus derechos.

Brechas de seguridad: Cuando haya cualquier problema de seguridad, hay que comunicar la incidencia a la Agencia Española de Protección de Datos, pero también a los propios interesados "cuando haya puesto en peligro sus derechos y libertades".

Un nuevo profesional

Ante el aumento de las exigencias a la hora de que las empresas traten los datos de terceros, el reglamento general de protección de datos ha decidido profesionalizar la tarea que hasta ahora realizaba, en la mayoría de los casos, el responsable de datos. Para ello, ha creado la figura del delegado de protección de datos (data protection officer, en inglés), un profesional cuya presencia será obligatoria tanto para los organismos públicos como para aquellas compañías "cuya actividad suponga la observación sistemática y habitual de datos a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales"

Desde Asesoria Ratio, te recórdamos la importancia de adaptarse al nuevo reglamento para evitar sanciones de la Agencia Española de Proteccion de Datos (AEPD).

Contacta con nostros !!  923 215 688 www.asesoriaratio.com