Principales novedades del GDPR de la UE

El Reglamento General de Protección de Datos de la UE, también conocido con sus siglas GDPR (General Data Protection Regulation), se encuentra dentro de la reforma normativa realizada por la Unión Europea con el objetivo de garantizar un alto nivel de protección de datos y adaptados a la realidad digital en la que vivimos.

¿Por qué se habla últimamente sobre este reglamento? La razón es que a partir del 25 de Mayo de 2018 este reglamento entra en vigor y se aplicará directamente a todos los países miembros de la Unión Europea.

En este artículo vamos a intentar resumir aquellos aspectos más relevantes de este Reglamento.

Protección de datos

 

El Reglamento General de Protección de Datos: ¿qué es?

El nuevo Reglamento General de Protección de Datos fue publicado en Mayo de 2016, y como se viene hablando últimamente, se recuerda que será aplicable a partir del 25 de Mayo de 2018.

Es una norma directamente aplicable en toda la Unión Europea, y hace referencia a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación.

El objetivo del GDPR, como ya hemos mencionado, es elevar el nivel de protección de datos. En la página de la Comisión Europea podemos ver como este reglamento fue planteado para combatir el crimen internacional, reforzar los derechos de los ciudadanos, el mercado interior y la cooperación internacional.

Es importante saber que las reglas son complejas y las multas por su no cumplimiento son importantes (hasta 20 millones de euros).

Obligaciones que recoge el GDPR

Actualmente, existen las siguientes obligaciones respecto de la información que se ha de facilitar a las personas interesadas en el momento en que se soliciten los datos:

  • La existencia del fichero o tratamiento, su finalidad y destinatarios
  • El carácter obligatorio o no de la respuesta, así como de sus consecuencias
  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y datos de contacto del responsable del tratamiento.

¿Quién y cuándo debe informar?

La obligación de informar a las personas sobre el tratamiento de sus datos es del Responsable del Tratamiento. Ya sean grandes empresas, como pequeñas organizaciones o autónomos.

Se entiende como tratamiento, “cualquier operación o conjunto de operaciones (recogida, registro, organización, consulta, difusión…) realizadas sobre datos personales, ya sea por procedimientos automatizados o no”.

La información debe de ser proporcionada en el momento en que se soliciten los datos.

Principales cambios en el nuevo GDPR

Antes de explicar los nuevos cambios establecidos, es importante saber que la aplicación de las medidas en el GDPR deben adaptarse a las características de la organización.

Esto es, lo que puede ser adecuado para una organización que maneja datos de millones de personas y además se trate de tratamientos complejos de información personal sensible o volúmenes destacables, no es necesario para una pequeña empresa que maneaja un número limitado de tratamientos de datos no sensibles.

  • El consentimiento

En este nuevo Reglamento, las normas con respecto al  consentimiento del individuo son más estrictas.

A partir de Mayo 2018, el consentimiento debe ser inequívoco, es decir, tiene que haber sido validado mediante una manifestación del interesado o mediante una clara acción afirmativa. No se admitirán formas de “consentimiento tácito” o por omisión.

Asimismo, será necesario comunicar las condiciones y cláusulas de forma más sencilla, transparente e inteligible posible, con el objetivo de que el usuario lea y conozca los términos y condiciones.

  • Notificación de “violaciones de seguridad de datos”

Las violaciones de seguridad de los datos, también conocidas como “quiebras de seguridad”, incluye todo incidente que suponga que los datos personales han sido violados: “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Con este nuevo reglamento, cuando se produzca una quiebra de seguridad de los datos, el responsable debe notificar a la autoridad de protección de datos competente y a los interesados dentro de las 72 horas siguientes a que el responsable tenga constancia.

  • Derechos

En el nuevo GDPR se han introducido algunos nuevos derechos además de los que ya contiene.

Derecho de acceso: el interesado tiene el derecho de obtener una copia de los datos personales objeto del tratamiento.

Derecho al olvido o derecho a la supresión de datos: los interesados pueden solicitar que se borren sus datos personales en caso de que ya no sean necesarios para la finalidad con la que fueron recogidos.

Derecho a la portabilidad de datos: implica por un lado, el derecho del interesado a solicitar sus datos personales que haya facilitado a un responsable del tratamiento, y por otro lado, el derecho a recibir sus datos personales en un formato electrónico que le permita trasladar esos datos a otro proveedor.

Podríamos decir que es un derecho que complementa al derecho de acceso.

  • Evaluación de Impacto sobre la Protección de Datos

Los responsables de tratamiento tendrán la obligación de realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

  • Medidas de seguridad

Se han adoptado en el nuevo reglamento medidas de seguridad donde los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo (Evaluación de Impacto sobre la Protección de Datos).

  • Sanciones por incumplimiento del GDPR

¿Qué pasa si infringes el GDPR? Las multas establecida por incumplimiento del nuevo reglamento podrán alcanzar los 20 millones de euros o equivales al 4% de la facturación global anual de tu empresa.

Además del impacto económico, también supone un daño reputacional derivado de la obligación de notificar los incidentes de seguridad y por lo tanto, la posible pérdida de clientes cuando la empresa no puede demostrar que cumple la normativa.

Por eso, desde Contasimple te recomendamos que prestes atención a todas las medidas que debas adaptar a tu organización para cumplir con este nuevo reglamento de protección de datos, y así evitar posibles perjuicios para tu negocio.

Enlaces de interés:

Compartir en...Share on Facebook2Share on Google+0Tweet about this on TwitterShare on LinkedIn0Email this to someone
Publicado en Autónomos, emprendimiento, Gestión Empresarial, Novedades, Uncategorized.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *