11/05/2017 ¿Conoces la nueva normativa de protecció nde datos, GDPR?
Podemos decir que prácticamente cualquier sitio web recoge y almacena datos de carácter personal. Basta un formulario de contacto o registro online para obtener, como mínimo nombre y email de contacto de esa persona, eso por no hablar del comercio electrónico. Toda esta gran cantidad de datos recopilados ha creado la necesidad de desarrollar una ley que regule y garantice su protección y privacidad. De ahí nace el GDPR.
¿Qué es el GDPR?
GDPR es el nuevo Reglamento General de Protección de datos de la UE. Quizás las siglas no digan demasiado sobre las grandes implicaciones que tendrá esta norma, pero podemos decir que es la regulación más profunda sobre protección de datos y provacitat en Internet hasta el momento.
¿A quién le afecta?
El GDPR afecta a todas las empresas que hagan negocios en la Unión Europea, independientemente de su tamaño o actividad. También afecta a cualquier institución que trate información personal de cualquier tipo.
¿Cuando entra en vigor?
El GDPR se aprobó el 27 de mayo de 2016, pero su cumplimiento no será obligatoria hasta el 25 de mayo de 2018. De esta manera, se establecen 2 años de margen para que las empresas puedan llevar a cabo las medidas necesarias para su cumplimiento.
¿Cuáles son les sanciones?
Según un informe de la consultora Gartner, el incumplimiento del GDPR se puede traducir en una sanción de hasta el 4% de la facturación anual de la empresa o hasta los 20 millones de euros.
Las PYMES serán las empresas con más dificultades para adherirse a la normativa
El GDPR requiere un gran esfuerzo, implicación y proactividad por parte de las organizaciones. Para una gran empresa, los costes para adecuarse a la normativa son asumibles, pero en el caso de las PYMES podría convertirse en una quimera. De hecho, deberán ser las mismas empresas que evalua las medidas técnicas y organizativas que hay que implementar.
El 56% de las empresas del Estado Español no cumple actualmente con el GDPR.
El GDPR como ventaja competitiva
Sin embargo, encontramos algunas empresas que utilizan el cumplimiento del GDPR como una ventaja competitiva. Proporcionar seguridad a los datos de los usuarios así como una gestión responsable de acuerdo con la normativa puede convertirse en un punto positivo para aquellos clientes preocupados por la seguridad de sus datos.
¿Qué dice el GDPR?
El reglamento es muy extenso y profundo, aún así intentaremos hacer un resumen de los conceptos más importantes.
> Medidas a nivel de datos
Si una empresa dispone de datos personales (nombre, dirección, teléfono, e-mail ...) debe documentar qué información guarda, de donde proviene y con quién la comparte (es el caso de importar la base de datos a una plataforma de envío de email masivo). También hay que documentar cómo se procesa los datos e identificar la base legal aplicable.
> Medidas a nivel técnico
La empresa debe garantizar que los datos son procesados certificándose su seguridad, integridad y confidencialidad, lo que incluye el cifrado de datos. Antes, debe obtener el consentimiento del usuario, que no puede ser deducida mediante silencio ni casillas previamente marcadas y se deberá informar sobre el procesamiento de los datos al usuario.
Por otra parte, el usuario debe tener derecho a borrar información y podrá oponerse a que sus datos sean utilizados para marketing directo.
La empresa debe poner los medios técnicos necesarios para que su Base de Datos no sea violada. No obstante, en el caso de que esto ocurra, se debe informar tanto a la autoridad nacional como a los propios usuarios implicados. No notificar de una posible violación de los datos será motivo de multa, importe que se sumará a la multa por la misma violación de los datos.
Finalmente los controladores puedan demostrar el cumplimiento de los principios de protección de datos. La empresa deberá ser capaz de demostrar en cualquier momento sus políticas de protección de datos.
> Medidas a nivel organizativo
Los empleados de la empresa también deben estar enterados de las buenas prácticas de seguridad y protección de datos. También se han de llevar a cabo auditorías o revisiones periódicas de estas políticas y los procedimientos que se llevan a cabo.