¿Cómo afecta a las empresas la nueva ley europea sobre protección de datos?
Recientemente, hemos conocido varios casos muy sonados sobre problemas con la seguridad de los datos en grandes empresas, un argumento más a favor de que se aplique la nueva legislación europea, la más dura del mundo hasta la fecha para las empresas que recopilan datos personales de sus clientes.
Después de que saliera a la luz la filtración de datos de Facebook, su fundador, Mark Zuckerberg, ha afirmado que aplicará en su empresa la nueva normativa de protección de datos –el Reglamento General Data Protection Regulation (GDPR)- que será de obligado cumplimiento en Europa a partir del 25 de mayo. Pero realmente, ¿cómo afecta a las empresas la nueva ley europea sobre protección de datos?
Más protección sobre la recopilación de datos personales
A partir del 25 de mayo de 2018 las empresas que realicen su actividad económica en Europa, sea cual sea el sector en el que operen y su país de origen, siempre que recopilen datos personales de clientes estarán obligados a informar sobre cómo los recopilan, los guardan y los procesan.
Esto significa que los titulares de los datos tendrán que dar su consentimiento explícito para que las empresas puedan recopilar y usar sus datos. Tanto es así, que las compañías estarán obligadas a decir cuáles son los datos que usan, qué tratos hacen de ellos, para qué lo usan y quién es la persona responsable de toda esa información confidencial.
También es necesario hacer hincapié en un dato, esta normativa afecta a todas las empresas que recopilen datos de ciudadanos europeos aunque sean de otro país como es el caso de Google o Facebook.
GDPR, novedades y cambios
Antes de entrar en los aspectos destacados y las novedades de la nueva norma, es conveniente hacer un par de aclaraciones para facilitar su comprensión. El reglamento GDPR es la nueva normativa que regula la protección de datos de los ciudadanos que vivan dentro de la Unión Europea. Este reglamento entró en vigor el 24 de mayo de 2016, pero no será de obligado cumplimiento hasta el 25 de mayo de este año, es decir, dentro menos de un mes.
Esta es la primera norma en materia de protección de datos que afecta a todos los países de la UE, logrando una unificación legislativa sin precedentes tanto a nivel de derechos como de obligaciones. Algo muy reclamado por importantes empresas de sector tecnológico quienes tenían que hacer frente hasta 28 legislaciones distintas sobre el uso y el tratamiento de los datos personales de sus clientes para poder ofrecer sus servicios en Europa.
El GDPR va más allá que la anterior ley europea en 3 aspectos. El primero de ellos, en cuanto al consentimiento del titular de los datos, que a partir de ahora debe ser explícito, informado y revocable cuando el usuario así lo desee. El derecho al olvido implica que los titulares de los datos están en su derecho de pedir a las empresas que los borren o los eliminen de sus bases de datos cuando así lo deseen.
Además, cualquier persona puede solicitar a una empresa que le facilite los datos que tiene sobre él – en un formato legible y de uso común – para posteriormente, dárselos a otra empresa, si así lo desea mediante el ejercicio del denominado derecho a la portabilidad de los datos.
Ahora las empresas que recopilen y trabajen con datos, tendrán que cambiar su forma de organizar esa información. Esto se traduce en una redefinición de los Términos del Servicio. A partir del 25 de este mes se introducen dos nuevos conceptos:
- La privacidad por diseño: aplicable desde el diseño de los productos o servicios que oferten las empresas a sus clientes.
- La privacidad por defecto: de manera que la protección de los datos debe ser siempre la máxima por defecto.
En un segundo lugar, las sanciones que contempla el nuevo reglamento son mucho más contundentes. Las multas máximas aplicables se fija en un 4% de la facturación global de la empresa, o 20 millones de dólares, la cantidad que sea mayor.
El tercer pilar es el principio de responsabilidad activa, que determina que corresponde a las empresas implementar procesos internos y evidencias que demuestren el cumplimiento de la norma.
La GDPR en España
La GDPR es una norma europea y de obligado cumplimiento para todos los países miembros de la UE. Esta norma puede adaptarse – pero no contradecir- en una normativa estatal para facilitar su aplicación y concretar algunos aspectos. En España, esto daría lugar a una nueva Ley Orgánica de Protección de Datos (LOPD), que no se espera que entre vigor hasta finales de 2018.
La nueva LOPD regulará las condiciones para que algunos tipos de empresas tengan la obligación de designar la figura del Data Protection Officer (DPO) o lo que es lo mismo, un delegado de protección de datos.
Las funciones del DPO son: asesorar a las empresas sobre cómo deben cumplir la norma y supervisar que la compañía implementa las medidas oportunas para garantizar su cumplimiento. Además, también se encargará de relacionarse directamente con los titulares de los datos en el caso de que se interponga alguna queja o reclamación.
Las empresas españolas ya han comenzado a trabajar en la aplicación del reglamento GDPR y se estima que en 2018 destinarán unos 140 millones de euros a la adaptación de sus procesos a la nueva norma; lo que supone un 44% más que el año pasado según los datos recopilados por un estudio del International Date Corporation (IDC).