El nuevo Reglamento Europeo de Protección de Datos: una digitalización obligatoria de las empresas
La próxima entrada en vigor del nuevo reglamento europeo relativo a la protección de datos es hoy un desafío para la mayoría de las empresas. El GDPR* refuerza los derechos de los consumidores, pero también impone nuevas obligaciones para todas las empresas que desarrollan proyectos digitales. Por ejemplo, si recaba datos vía su página web, tiene hoy la obligación de adoptar soluciones para respetar los fundamentales de la ley.
¿Quién debe aplicar el GDPR en mayo de 2018?
Mientras la protección de datos está en peligro en EE.UU., la Unión Europea ha decidido implementar una reglamentación muy defensora para los usuarios y muy represiva para las empresas. No solamente se aplica a las empresas presentes en los 28 países de la UE, sino también a todas las organizaciones que tratan datos de residentes de la Unión Europea. Sea cual sea el sector (turismo, banca, bienes de consumo…), gran parte de las empresas españolas deberán adaptar sus prácticas de gestión.
Queda menos de un año antes de la aplicación del mayor proyecto europeo de modificación de leyes de datos personales, la entrada en vigor del GDPR está prevista para el 25 mayo de 2018. Según un artículo del periódico Expansión, “solo el 32% de las empresas españolas tiene un plan para cumplir la nueva normativa de protección de datos”. En caso de no aplicar el reglamento, una empresa se arriesga a multas severas que pueden alcanzar hasta un 4% de su volumen de negocio mundial.
Los fundamentales del GDPR
Los grandes principios son los siguientes:
- Cualquier dato que permite identificar una persona física está emparado por el GDPR. Las fuentes de información siempre serán tratadas de manera individual.
- Los datos de una persona serán siempre de su propiedad.
- El consentimiento expreso de una persona es imprescindible para el tratamiento de sus datos.
- La persona debe ser informada explícitamente del uso de sus datos y de la supresión de los mismos una vez su tratamiento acabado.
- El derecho de consulta, de supresión o de transferencia de los datos se mantiene.
- Los datos deben ser protegidos de cualquier tercero no autorizado expresamente por el usuario.
- Debe existir la figura del «responsable del tratamiento».
- Las empresas deben poder demostrar que los procedimientos y tecnologías respetan el GDPR.
- El regulador puede multar las empresas en caso de pérdidas de datos.
El desafío para las PYMES: integrar el GDPR en todos los proyectos numéricos
No solo el mundo jurídico es actor de la conformidad de la reglamentación en las organizaciones, todo el sector IT está implicado. Todos los proveedores tienen que orientarse hacia el mercado del Privacy By Design.
Las empresas necesitan poder intercambiar datos con numerosos actores, de manera ágil y segura. Estas informaciones ya circulan hoy a través del Big Data, IOT, e-learning, aplicaciones móviles… Cada actor tendrá una parte de responsabilidad en el tratamiento de los datos. Las empresas que usan soluciones de Cloud Computing tendrán que asegurase que su proveedor también cumpla con sus obligaciones, como los tipos de infraestructura cloud: IaaS y SaaS.
Hoy, numerosos actores ya proponen servicios para el tratamiento de datos personales garantizando el nivel legal de protección. Es el caso por ejemplo de Microsoft que ya adaptó sus soluciones a las exigencias del GDPR: Office 365, Dynamics 365 y su plataforma cloud Azure ya están adaptados al GDPR.
El mercado obligará a los proveedores a crear y proponer aplicaciones y soluciones integrales que, desde su concepción, integren los principios del reglamento de protección de datos. Esta adaptación de servicios es imprescindible para las Pymes, incapaces de asumir solas las obligaciones del GDPR.
Si necesitas más información sobre las adaptaciones tecnológicas a implementar para cumplir con el GDPR, puedes dejarnos un comentario o contactarnos.
* General Data Protection Regulation (GDPR): Reglamento (UE) 2016/679 del Parlamento Europeo del 27 abril 2016