A partir del próximo 25 de mayo de 2018 cambia la legislación de protección de datos con la implementación del Reglamento General de Protección de Datos Europeo, más conocido por las siglas GPDR (General Data Protection Regulation). Esta normativa entró en vigor en el 2016, pero se estipularon dos años de transición para su imposición.
¿Qué es?
Con estas nuevas normas se sustituye a la Directiva de Protección de Datos de 1995 para unificar las legislaciones específicas de cada país. El objetivo principal es proteger la privacidad de los datos personales de los ciudadanos de la Unión Europea y controlar cómo empresas e instituciones procesan, almacenan y utilizan esos datos.
Como ciudadano de la UE debes saber que tienes control sobre tus datos personales gracias principalmente a estos tres derechos fundamentales:
- Derecho de acceso. Las personas físicas podrán exigir a una organización información sobre si almacena datos personales suyos, dónde y para qué.
- Derecho al olvido. Un individuo podrá pedir que se borren sus datos personales si ya no son necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando se hayan obtenido de forma ilícita.
- Derecho a la portabilidad de los datos. Una persona podrá solicitar sus datos personales a una empresa en un formato que pueda trasladarlos a otra compañía.
¿Cómo afecta a mi empresa?
Se aplicará esta nueva normativa a toda organización que procese y almacene los datos personales de residentes en al Unión Europea, sin importar la ubicación de la compañía. Es decir, no solo se aplicará a las empresas localizadas en la UE, sino también a aquellas que ofrecen bienes o servicios a sujetos de la Unión Europea.
Obligaciones
Para prevenir cualquier incidente que afecte a los datos personales hay que adoptar medidas para cumplir con los principios, derechos y garantías que establece el GPDR. Algunos ejemplos son:
- Comprobar el estado de seguridad de los sistemas de la organización con auditorías.
- Mantener un registro de tratamiento de datos.
- Disponer de herramientas para notificar los incidentes de seguridad en menos de 72 horas.
- Revisar las políticas de privacidad.
- Implantar mecanismos para reducir el riesgo de ser víctima de un ataque.
- Evaluar los indicadores de riesgo de forma continuada.
Infracción
Aquella empresa que no cumpla con las obligaciones de esta normativa podrá pagar multas de hasta 20 millones de euros o el equivalente al 4% de la facturación global anual de la empresa. Estas sanciones serían interpuestas en el caso de faltas graves como el no tener el consentimiento suficiente del cliente para procesar sus datos.
Además del tema económico, el incumplimiento del GPDR puede ocasionar otros tipos de problemas como: daño reputacional o pérdida de clientes. Es importante si tienes una empresa que no pases por alto esta cuestión y estés preparado para el cambio.
Fuente: Panda Security