Reglamento Europeo de Protección de Datos (GDPR), ¿perdón?
El nuevo Reglamento Europeo de Protección de Datos (GDPR, en sus siglas en inglés), ha sufrido una dura andadura des de que fuera presentado en Enero de 2012. Hoy, más de 4 años después, se encuentra a pocas fechas de su adopción formal y su publicación oficial, creemos que es un buen momento para apuntar las características básicas del GDPR, así como ver de qué forma puede afectarte este nuevo texto que pretende ser una respuesta actualizada para proteger la privacidad y superar la obsoleta Directiva, del lejano 1995.
GDPR, una sola norma para 28 Estados miembros
Una de las principales características del Reglamento Europeo de Protección de Datos (GDPR) es que será de aplicación directa en todos los Estados miembros de la UE. Esto pretende armonizar tanto los derechos de las personas, como las obligaciones de quienes recogen y tratan sus datos. Tiene sentido, ya que resulta raro que en el Mercado único, haya obligaciones distintas en función del Estado de residencia de los titulares de derechos o los obligados a cumplir la ley.
Yo ya cumplo la LOPD ¿qué tengo que hacer?
Si has hecho los deberes y cumples la LOPD, ¿cómo te afecta el GDPR?
- Deberás revisar tus políticas de privacidad. El GDPR obliga a facilitar información adicional como por ejemplo: el tiempo por el que pretendes tratar los datos, informar de dónde pueden interponerse reclamaciones o la identidad de tu DPO (si debes nombrarlo).
- No escondas el consentimiento para tratar datos, en medio de textos legales eternos. Distingue bien que el usuario da su consentimiento e informar de para qué lo hace.
- Aplica el Derecho al olvido y a la portabilidad.
- Establece un sistema interno para notificar incidencias a la Agencia Española de Protección de Datos y, en algunos casos, a los afectados por dichas incidencias.
- Nombra un Delegado de Protección de Datos (DPO) si tratas, a gran escala, datos sensibles o te dedicas a monitorizar el comportamiento de las personas. Son conceptos amplios que deberán irse concretando.
- Aplica los principios de privacidad des del diseño o por defecto. Pon la privacidad de los usuarios en un lugar central al momento de tomar decisiones empresariales, por ejemplo al diseñar un APP o al implementar sistemas de control horario. En algunos casos te obligaran a realizar un Estudio de Impacto de la Protección de Datos.
- Forma a tu personal.
¿Cuánto tiempo tengo?
El GDPR da un plazo de 2 años, desde su aprobación definitiva, para que los obligados a cumplirlo, se pongan al día. Esto nos llevaría a mediados del 2018. Dicho esto, el cambio es tan significativo, que es más que recomendable que cualquier cambio o decisión que debas realizar en materia de protección de datos, desde ya, se haga pensando en el GDPR. De otra forma, un cambio tan sustancial, de la noche a la mañana, se me antoja imposible.
En definitiva, el GDPR es un reto gigante, especialmente para aquellas empresas que no sólo «cumplen la LOPD» sino que tienen instaurada una política real de respeto a los datos personales. Implicará cambiar procesos, formas de tomar decisiones y en definitiva, implementar una cultura de protección de datos efectiva que debe convertirse en un valor competitivo más de la organización.
¡Si tienes alguna duda sobre este o cualquier otro tema, no dudes en contactarnos!