El 25 de mayo entrará en vigor en toda la UE, sin necesidad de transposiciones nacionales, la GDPR (General Data Protection Regulation), que supone fortalecer todavía más la protección a la privacidad de los datos

05.03.2018.- Durante la reciente edición de Pure London, su programa de conferencias incluyó una sobre la nueva GDPR (en castellano, Reglamento General de Protección de Datos) porque el salón consideró que es un tema que tanto marcas como detallistas deben conocer y cumplir.

El 25 de mayo entrará en vigor en toda la Unión Europea el nuevo reglamento europeo sobre la protección de datos (con nº 2016/679), que obligará incluso a las empresas no europeas, cuando tengan actividad en Europa. Fue adoptada ya el 8 de abril de 2016, después de cuatro años de discusión, por acuerdo entre la Eurocámara, el Consejo de la Unión Europea y la Comisión Europea. Cuando entre en vigor, reemplazará a la Directiva europea de Protección de Datos de 1995 actualmente en vigor.

GDPR, General Data Protection Regulation, protección de datos

Objetivo de la nueva normativa

Pretende fortalecer y unificar la protección de datos dentro de la UE y controlar también la transferencia de datos fuera de la UE. Sus principales objetivos son devolver a los ciudadanos el control sobre su información personal y unificar el marco regulador para las empresas. Procede de una directiva europea de 1995, que tenía un horizonte bastante más limitado que la nueva GDPR. Será válida en toda la Unión Europea, incluso sin necesidad de transposiciones nacionales.

Los datos –sobre todo ahora, en la época de los big data– constituyen uno de los activos intangible más importantes de una sociedad y, por lo tanto, de sus empresas y personas. Por eso, deben ser protegidos a toda costa, tanto los datos en sí mismos como su flujo y su uso. En el caso de las empresas, la autoridad comunitaria entiende por datos todos los relacionados con proveedores, clientes y empleados.

Ahora mismo, solo el 25% de los datos existentes en la sociedad cumplen con los requisitos que supone la GDPR. Para que la situación cambie y todos los datos cumplan con la nueva normativa, la nueva legislación comunitaria anticipa unos cuantos aspectos a tener en cuenta:

  • Privacy by design. La arquitectura de las bases de datos debe estar configurada de tal forma que conduzca por sí sola a su privacidad.
  • Accountability. Los controladores y procesadores de las bases de datos serán responsables del cumplimiento de la nueva norma.
  • Privacy impact assessment. Los responsables de cada base de datos deben hacer una valoración constante de su posible impacto sobre la privacidad de las personas.
  • Data Protection Officer. De hecho, en determinadas circunstancias, los controladores y procesadores de las bases de datos deben contar con un DPO (Data Protection Officer), un empleado responsable de la protección de los datos.
  • La nueva normativa exige el respeto al derecho a ser olvidado (Right to be Forgotten), que supone el borrado de los datos que un ciudadano no desee que figuren en las bases de datos.
  • La recepción y posesión de datos exige en cada caso una autorización expresa y no ambigua por parte del ciudadano al que afecten los datos.
  • La norma establece una serie de multas –en general, elevadas- para quienes no cumplen con sus requisitos, que pueden incluso llegar al 4% de la facturación anual de una empresa.

Medidas operativas a adoptar

En estos momentos, por lo tanto, todas las organizaciones deberían hacerse, entre otras, las siguientes preguntas:

  • ¿Cuáles son las nuevas obligaciones que afectan a mi organización?
  • ¿Qué diferencias existen entre mi actual tratamiento de los datos y las obligaciones que impone la nueva normativa?
  • ¿Qué cambios deberíamos introducir para cumplir la nueva normativa, en qué plazo y con qué costes?

Como consecuencia, deberían dar los siguientes pasos organizativos:

  • Preparar unos protocolos claros para que, en caso de existir infracciones, pueda reaccionar deprisa.
  • Establecer un marco de responsabilidad y nombrar un Data Protection Officer, si es necesario en su caso. Establecer una cultura global en cada empresa para defender los datos. Asegurarse de que la plantilla comprende la normativa y las obligaciones que le supone.
  • Asegurarse de que el respeto a los datos esté presente en el diseño de cualquier procedimiento o producto que maneje.
  • Analizar la base legal sobre la cual puede usar datos personales y asegurarse de que cumple los requisitos que demuestran el consentimiento de las personas.
  • Verificar su política de privacidad y los documentos en los que se apoya, que deben ser transparentes y asequibles.

Las empresas, comprometidas a fondo

En resumidas cuentas, todas las empresas deben tener en cuenta los derechos de los individuos, estar dispuestas a realizar los cambios que les pidan las personas afectadas y recordar que es ella quien tiene que demostrar su derecho a poseer los datos.

Si es usted proveedor de servicios o productos a otras empresas o personas, debería aclarar con sus asesores si tiene nuevas obligaciones como procesador de datos. Si maneja datos de otros procesadores de datos, tenga bien claro dónde empieza y dónde acaba la responsabilidad de cada parte. Respecto a las transferencias internacionales de datos –también a los que circulan dentro de un mismo grupo empresarial-, debe asegurarse de que tiene derecho a realizarlas.

Las multas en caso de infracción contra esta normativa pueden llegar a alcanzar los 20 millones de euros o el 4% de la facturación anual mundial del grupo empresarial que la haya cometido.

Para resumir el tema, Jane Finlayson-Brown, del bufete Allen & Overy, uno de los que ya se ha ocupado ampliamente del tema, ha afirmado: el riesgo que supone la nueva GDPR ha conseguido ya que el tema de la protección de datos sea debatido al nivel más alto en el seno de las empresas. En la web de ese bufete hay información muy precisa.

+ Info: www.allenovery.com