Est tu empresa preparada para el nuevo Reglamento de Proteccin de Datos?

Por Joaqun Muoz | Infraestructura, Seguridad y Cloud, Tendencias | 0 Comentarios | 21

Abril, 2017 | 1
El Reglamento General de Proteccin de Datos Europeo o GDPR, ya est en vigor y ser de
obligado cumplimiento en mayo de 2018.
A partir de esa fecha todas las empresas europeas debern haber adaptado sus procesos de
tratamiento de datos a la nueva realidad normativa o podrn ser sancionadas con multas de
hasta el 4% de su cifra de negocios anual.
La Unin Europea ha promovido esta reforma con un doble objetivo. Por un lado, persigue
adaptar la normativa a los avances tecnolgicos y al entorno digital, que permiten la recogida
y tratamiento de datos a gran escala. Por otro, trata de homogeneizar la regulacin en todo el
mbito de la Unin Europea, para lo que utiliza la figura del reglamento que, a diferencia de la
directiva, es directamente aplicable en todos los Estados Miembros. De esta manera se intenta
poner fin a la fragmentacin en cuanto a la aplicacin de la directiva que existe actualmente
entre los Estados Miembros.
El Reglamento General de Proteccin de Datos ya est en vigor, pero no ser de obligado
cumplimiento hasta mayo de 2018. El regulador europeo, consciente de las muchas
novedades que introduce la norma y de la relevancia de las mismas, ha concedido un periodo
de dos aos para que las entidades que traten datos personales puedan adaptar su actividad
de manera adecuada.
La normativa vigente en la actualidad no ser derogada, sino que dejar de aplicarse en todo lo
que contradiga al nuevo Reglamento general de proteccin de datos.
Algunas de sus caractersticas ms destacadas
En cuanto al mbito de aplicacin territorial, el Reglamento se aplica a Responsables o
Encargados radicados o con establecimientos en la Unin Europea, pero tambin a
Responsables o Encargados sin establecimiento permanente en la UE que ofrezcan bienes o
servicios a residentes europeos.
El Responsable deber aplicar las medidas de seguridad que sean adecuadas para el
tratamiento de los datos desde el momento inicial, involucrando al responsable de proteccin
de datos de la empresa. Adems, deber tratar, por defecto, solamente los datos
estrictamente necesarios para la finalidad deseada y durante el plazo mnimo necesario y
conceder al usuario, tambin por defecto, la mayor expectativa de privacidad posible.
En general, las empresas gozan de libertad para determinar las medidas de seguridad ms
adecuadas. No obstante, s sern obligatorios la implementacin del principio Privacy by
design, el cumplimiento de ciertas obligaciones documentales y, en algunos casos, la
realizacin de Evaluaciones de Impacto (PIA) o la designacin de un Delegado de Proteccin de
Datos (DPO).
Se introducen tambin el Derecho al Olvido y a la Portabilidad. Los interesados podrn
solicitar al Responsable la eliminacin de sus datos personales y que stos, a su vez, soliciten la
retirada de dicha informacin de sitios de terceros que hayan podido replicarla. Tambin
tendrn derecho a recibir los datos que les afecten que estn en poder de un proveedor en un
formato exportable e interoperable para utilizar los servicios de otro proveedor futuro.
Los datos genticos y biomtricos se consideran datos especialmente protegidos junto a los
datos de origen tnico o racial, relativos a preferencias polticas, religiosas o filosficas,
afiliacin sindical, datos de salud y datos relativos a la vida sexual de las personas.
En cuanto a la notificacin de brechas de seguridad, las entidades que sufran un percance que
ponga en riesgo datos personales debern avisar de la incidencia a la AEPD o a la autoridad de
control correspondiente antes de 72 horas desde su conocimiento. Adems, cuando la brecha
suponga un riesgo alto, sta deber efectuarse tambin con los propios interesados.
Por ltimo, el nuevo reglamento facilita la oposicin a la elaboracin de perfiles psicolgicos,
econmicos, de salud, de fiabilidad, de rendimiento, etc.