¿Está preparada su empresa para el RGPD?

Joe Svetlik

06/12/2016

En mayo de 2018, entrará en vigor un nuevo marco legal en todos los países de la UE. Las empresas no lo cumplan se exponen a multas considerables.

Es posible que aún no hayas oído hablar de él, pero pronto entrará en vigor el Reglamento General de Protección de Datos (RGPD), un nuevo marco legal de primer orden para la UE que concierne a los datos personales (incluidos los identificadores en línea como las direcciones IP) y a la responsabilidad de las organizaciones de protegerlos.

El RGPD entrará en vigor el 25 de mayo de 2018 y afectará a todas las empresas que operan en la UE y a todas las extracomunitarias que ofrecen sus servicios en los Estados miembros. Se tendrá por responsables a estas empresas de los datos personales que obren en su poder. Así, deberán cumplir con los principios del reglamento y demostrar su cumplimiento, por ejemplo documentando las decisiones tomadas en torno al procesamiento de datos.

Empresas poco preparadas

Es inquietante que la mayoría de las empresas aún no haya tomado las medidas necesarias para cumplir el reglamento. Según el informe de Symantec State of European Data Privacy, sobre protección de datos en la UE, un sorprendente 96 % de las empresas no sabe bien qué es el RGPD. A la gran mayoría (9 de cada 10) les preocupa si serán capaces de cumplirlo, mientras que menos de un cuarto 22 %) considera su acatamiento un tema de máxima prioridad en los próximos dos años.

Sin duda, queda mucho trabajo por hacer.

Prepararse

Las empresas que no cumplan el RGPD en mayo de 2018 se exponen a multas elevadas. Afortunadamente, aún queda tiempo para remediarlo, pero es necesario actuar ya.

El primer paso es asegurarse de que las personas que toman las decisiones y los profesionales clave de la organización sepan que la ley va a cambiar. Es necesario documentar qué tipo de datos personales obran en poder de la empresa, su procedencia y los destinatarios a quienes se difunden (esto puede ser bastante complicado, por lo que quizá sea mejor realizar una auditoría de información). Hay que revisar los avisos legales de privacidad actuales y estudiar los cambios que serán necesarios antes de la entrada en vigor del RGPD.

Conforme a lo dispuesto en el RGPD, se reconoce el derecho personal al olvido (es decir, una persona puede exigir que se borren todos sus datos del sistema de la empresa). Por tanto, es necesario comprobar que en los procedimientos de la empresa contemplan todos los derechos personales, incluido el procedimiento de eliminación de datos y la capacidad de ponerlo en práctica a petición del interesado.

Procedimientos a punto

Será necesario actualizar los procedimientos y prever cómo abordar las solicitudes personales de acceso en los nuevos plazos. Examinando el tipo de tratamiento de datos que realiza la empresa, hay que determinar la base jurídica en que se apoyan y documentarla.

También es preciso revisar cómo se solicita, obtiene y registra el consentimiento de recogida de datos personales y, a continuación, realizar los cambios necesarios, como por ejemplo implantar sistemas para verificar la edad de cada persona y obtener el consentimiento de padres o tutores en el caso de menores. También hay que poner en práctica los procedimientos adecuados para detectar, notificar e investigar posibles vulneraciones en materia de datos y familiarizarse con la Guía para una evaluación de impacto en la protección de datos personales  para informarse de cómo y cuándo se deben implementar estas directrices.

En algunos casos es necesario designar a un responsable de la protección de datos o del cumplimiento normativo. Por último, si la empresa opera en el extranjero, hay que determinar a qué entidad supervisora en materia de protección de datos está sujeta.

En el caso de empresas que operan en el Reino Unido, el brexit no significa que el RGPD no las afecte. Las empresas británicas con operaciones internacionales deberán seguir acatándolo tras una eventual salida del país de la UE. Cumplir con el RGPD traerá bastante revuelo, pero empezando cuanto antes será fácil poner la empresa en regla antes de que sea demasiado tarde.

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.