¿Está preparada tu empresa para el RGPD?

Avatar

Eres consciente de donde tienes almacenados los datos personales de tus clientes?
Y de quien las recoge, cómo y por qué?

Probablemente no. Porque ahora la información personal confidencial de cualquier empresa se encuentra almacenada en un abanico muy amplio de dispositivos y sistemas. Además, prácticas como la transferencia de datos entre estos dispositivos, tanto dentro como fuera de la organización (y del país), hace que proteger estos datos sea todo un reto.

RGPD: Reglamento General de Protección de Datos.

Ante el auge del comercio electrónico, el Big Data, el Cloud Computing, el Internet de las cosas (IOT), la realidad aumentada, o la inteligencia autónoma, la Unión Europea decidió ampliar los derechos de todos los ciudadanos en relación a sus datos personales. Y lo hizo aprobando el Reglamento General de Protección de Datos (RGPD) a finales de 2016. Un reglamento que representa un importante cambio en la gestión de los datos personales tanto a nivel europeo como mundial, por el que se describen las reglas, los requerimientos y los procedimientos que se deben respetar para proteger los datos personales de las personas.

El nuevo Reglamento General de Protección de datos (RGPD) será de aplicación obligatoria a todos los estados miembros de la UE, a partir del 25 de mayo de 2018 (aunque ya es vigente), y armonizará las leyes de privacidad de datos en toda Europa, definiendo como las empresas protegen y administran los datos de sus clientes y colegas en el futuro.

El Reglamento General de Protección de Datos (RGPD) constituye el nuevo marco jurídico que entrará en vigor el 25 de mayo de 2018 en la Unión Europea (UE).

El objetivo de la RGPD es el de otorgar un mayor control a los ciudadanos sobre sus datos personales así como establecer unas reglas comunes de protección dentro de la UE. Las empresas fuera de la UE también estarán sujetos al nuevo reglamento cuando sus actividades comporten el tratamiento de datos personales de personas que residan en la UE.

El nuevo reglamento supone unas modificaciones substanciales de la normativa de protección de datos de carácter personal, y establece una serie de nuevos requerimientos que deben cumplir las organizaciones que traten datos personales dentro de la UE. También modifica el régimen sancionador con nuevas sanciones de hasta 20.000.000 € o el 4% del volumen del negocio anual global del ejercicio anterior.

El Reglamento RGPD obliga a las empresas a asumir una mayor responsabilidad respecto los datos que recopila de los usuarios así como llevar a cabo las tareas necesarias para protegerlos.

RGPD: Principios básicos.

El Reglamento RGPD  consolida tres conjuntos básicos de normas relativas a los datos personales. Sus principios se pueden describir de la forma siguiente:

  • Principios de la protección de datos.

    El tratamiento de los datos personales debe ser lícito, leal y claro por el interesado. Se recogerán para fines específicos, explícitos y legítimos, y no se pueden tratar de una forma que sea incompatible con ellos. Los datos recogidos deben ser adecuados, pertinentes y limitadas al necesario.
    Deben ser exactos y mantenerse actualizados, y deben tomar todas las medidas razonables para garantizar que los datos personales que sean inexactos se rectifiquen o supriman sin demora. Los datos personales deben ser almacenados de una manera que identifique al interesado sólo el tiempo necesario, y deben ser tratadas de forma que se garantice su seguridad, incluida la protección frente pérdida, destrucción o daños, así como la acceso ilícito o no autorizado
    .

  • Tratamiento lícito.

    Sólo es lícito el tratamiento de datos personales si se cumple al menos una de las siguientes condiciones. El interesado ha dado su consentimiento para uno o más fines específicos; es necesario para un contrato en el que interviene, o bien intervendrá, el interesado; se debe cumplir una obligación legal (por ejemplo, declaración de impuestos de una empresa); existe una misión realizada en el interés público o el ejercicio de los poderes públicos; es necesario para proteger intereses legítimos (incluso de un tercero), a menos que prevalezcan los intereses, derechos fundamentales y libertades del interesado.

  • Transferencias internacionales.

    El reglamento RGPD mantiene la prohibición general de enviar datos personales fuera del Espacio Económico Europeo a un país que no ofrezca una protección adecuada. En el momento de redactar este documento, los países que la Comisión Europea consideran que ofrecen una protección adecuada son: entidades estadounidenses que se hayan autocertificado en el Escudo de la privacidad UE-EE. UU. (Nota: esto no implica que se considere que los Estados Unidos como país proporciona una protección adecuada), Andorra, Argentina, Canadá (sólo PIPEDA), Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Suiza y Uruguay. Si no hay decisión sobre la adecuación, sólo pueden transferir datos en circunstancias limitadas, tales como, sobre la base del consentimiento, el uso de cláusulas contractuales tipo publicadas por la Comisión Europea o, en el caso de transferencias interempresariales, la uso de normas corporativas vinculantes.

Medidas a implantar.

Desde EIO recomendamos a todas las empresas que aceleren el cumplimiento del nuevo reglamento lo antes posible. ¿Por qué? Pues porque no existe un producto RGPD; cada organización deberá implementar aquellas medidas (organizativas y técnicas) que garanticen la protección de los datos personales dentro de sus productos y servicios.

Algunas de las medidas a implantar pueden ser las siguientes:

  • Cifrado de datos personales.
  • Garantizar la disponibilidad, integridad, confidencialidad y resiliencia de los sistemas.
  • Capacidad de restaurar los sistemas ante cualquier incidente.
  • Disponer de procesos para realizar test y evaluar la efectividad de los sistemas.

DATOS PERSONALES.

El término “datos personales” se utiliza para definir toda aquella información relacionada con una persona física identificable. Esto significa identificadores como direcciones IP, direcciones de correo electrónico, información recogida por cookies y todo lo que se pueda vincular con la persona física. También hace mención a otros tipos de información que permita establecer (directa o indirectamente) la identidad de una persona ya sea a nivel fisiológico, genético, psíquico, económico, cultural, social … un alcance muy amplio.

Por otra parte, el reglamento no establece ninguna diferencia entre los diversos ámbitos de la persona, ya sea el privado, el público o el laboral; todos ellos quedan cubiertos.

Pedir consentimiento y mucho más.

El reglamento RGPD establece como un aspecto clave el solicitar el consentimiento de la persona los datos de la que se quieren tratar. Esto significa que las empresas deberán demostrar de qué forma y en qué momento han logrado el consentimiento del usuario. Además, estos datos deben ser empleadas para una finalidad concreta, explícita y legítima.

Cuando la empresa solicite datos a un usuario, es necesario que le informe con claridad sobre varios aspectos; como:

  • La identidad y datos de contacto de la organización que solicita los datos.
  • Cuál es la finalidad así como la base jurídica que fundamenta el tratamiento.
  • Informar sobre la transferencia de los datos a un tercer país y las garantías.
  • ¿Cuál será el período a lo largo del cual se conservarán los datos?.
  • El derecho de acceso, rectificación y eliminación de sus datos personales.
  • El derecho de limitar y oponerse al tratamiento de sus datos personales.
  • El dret a poder retirar el seu consentiment en qualsevol moment.
  • El derecho del usuario a poder reclamar ante una autoridad de control.
  • El derecho a conocer los datos de contacto de los delegados de protección de datos designados.

El reglamento GDPR dispone que los usuarios tengan acceso a la información relativa al modo en que sus datos son procesados. Esta información debe ser presentada de un modo claro y comprensible.

Además de los derechos anteriormente mencionados, los usuarios tienen derecho a la eliminación permanente de sus datos (derecho al olvido) una vez ya no resultan de utilidad para los objetivos y tratamientos para los que fueron recogidos.

Dar cumplimiento a RGPD significa proteger la información personal de toda la empresa contra el robo, la pérdida o eliminación accidental y contra los ataques ransomware.

FISURAS DE SEGURIDAD.

El reglamento RGPD establece que la empresa debe comunicar a la autoridad de control cualquier grieta de seguridad en la protección de datos personales. Y lo tiene que hacer de forma inmediata, en un plazo de setenta y dos horas. Esto significa que la empresa debe disponer de sistemas y herramientas que le permitan detectar cualquier ataque y valorar el riesgo para la seguridad.

En caso de que se produzca un ataque, la empresa debe poder demostrar que ha llevado a cabo las acciones necesarias para reducir las consecuencias sobre los datos personales. Esto significa que la empresa debe poder cerrar los puntos de acceso, comunicar la amenaza a toda la organización y blindar los sistemas que contengan datos de carácter personal.

NO ESPERES Y ACTÚA.

Hay un dicho que afirma que “hasta que no pasa una desgracia las cosas no cambian”. Y aunque define muy bien la visión de algunas organizaciones, es una mala idea. En Ingeniería Informática Olot le recomendamos comenzar a preparar su empresa aplicando una serie de medidas:

  • Comienza por revisar los sistemas de captura y tratamiento de datos personales para garantizar que se ajustan al reglamento RGPD. Plantéate el llevar a cabo una auditoría RGPD desde un punto de vista legal y tecnológico, entre otros.

  • Verifica que tanto los empleados como los proveedores conocen el reglamento RGPD. Organiza acciones formativas que estén preparados. Hay que tener presente que la empresa es responsable del tratamiento de datos personales que terceros hagan en su nombre.

  • Asesórate con el objetivo de comprender las implicaciones y el alcance del nuevo reglamento para las actividades de la empresa.

Si tienes alguna duda o quieres más información, a EIO atenderemos tus consultas y te ayudaremos a implantar herramientas, formación y apoyo para proteger la privacidad de la infraestructura de tu empresa y cumplir con el nuevo reglamento de protección de datos personales.

En aquest web processem dades personals com, per exemple, les dades de navegació. Si segueix navegant pel nostre web, EIO i altres companyies seleccionades podran instal·lar cookies o accedir a informació no sensible del teu dispositiu amb l'objectiu de personalitzar continguts i elaborar estadístiques. Pots configurar les preferències de privacitat ara o en qualsevol moment accedint a la nostra política de privacitat. Més informació,

ACEPTAR
Aviso de cookies
grafismo ventanas web