El próximo 25 de mayo entrará en vigor el nuevo Reglamento General de Protección de Datos, más conocido por las siglas  RGPD (o GDPR en inglés), cuyo principal objetivo es establecer dentro del marco europeo las garantías legales para la protección de la información personal de los consumidores, tanto la que manejan organismos públicos, como los privados.

Lo cierto es que, a día de hoy, ya existen diferentes normativas y organismos que se ocupan de proteger nuestra información personal.

Sin embargo, el desarrollo de Internet y la popularización de determinados portales web y herramientas sociales, han provocado que el volumen y la importancia de los datos personales alcancen dimensiones nunca vistas.

Así, el Reglamento General de Protección de Datos reconoce derechos ya protegidos por normativas nacionales, como la LOPD; y estos son, por ejemplo: la rectificación, la cancelación, la oposición y el acceso a la información personal.

La nueva ley añade un par de derechos nuevos, como son la portabilidad de los datos y el derecho al olvido.

Este último ya fue establecido por el Tribunal de Justicia de la Unión Europea en 2014, cuando declaró que una persona, como usuario de los buscadores, tenía el derecho a solicitar que sus datos personales no aparecieran en los resultados de búsqueda de Internet. La novedad es que ahora se incluye dentro de una normativa global y a nivel comunitario.

El RGPD (GDPR) también establece límites, en cuanto al tratamiento de la información que se use para fines estadísticos en históricos, en la investigación científica o en cualquier archivo que pudiera tener interés público.

El Reglamento General de Protección de Datos 2018 a examen

Este reglamento deroga la Directiva Europea 95/46/CE, que entró en vigor hace relativamente poco, en mayo de 2016.

El Parlamento Europeo llevó a cabo una reforma normativa en abril de ese año, con aplicación para todos los países miembros de la Unión Europea con el objetivo de adaptar la protección de datos personales a la nueva realidad digital.

Europa ha dado 2 años de plazo para que empresas y organismos públicos adapten sus estructuras y su funcionamiento para cumplir con la ley.

No obstante, lo cierto es que se trata de un texto relativamente ambiguo, con áreas demasiado amplias como para dar lugar a múltiples interpretaciones.

Además, se añade el reto de que, aunque tiene muchas similitudes con la norma actual, presenta nuevos retos y obligaciones para los negocios.

Por ejemplo, aquellas organizaciones que se dediquen a la publicidad digital necesitarán, por primera vez, cumplir estrictamente con la protección de datos.

Si en su momento ya informamos de las sanciones por el incumplimiento de la LOPD, con la llegada del RGPD (GDPR) las multas se elevan al no actuar conforme a la normativa, ascendiendo incluso hasta los 20 millones de euros o al 4 % de la facturación global anual de una empresa.

Cómo adecuar mi empresa al RGPD (GDPR)

Por todo lo dicho anteriormente, es importante que si tienes una empresa, independientemente del tamaño -ya que están incluidos pymes y autónomos-, tomes conciencia cuanto antes de ésta nueva ley y adoptes (si no lo has hecho ya) las siguientes medidas:

Buscar un Delegado de Protección de Datos (DPD)

El Delegado de Protección de Datos o DPD, es una figura que nace con la aplicación del nuevo Reglamento General de Protección de Datos.

Aunque no todas las empresas están obligadas a tenerlo, sí deben contar con él las que desempeñen actividades que afecten a gran escala o traten datos personales, como las opiniones políticas o religiosas, así como las relacionadas con la etnia o sobre la salud.

Los organismos públicos tendrán la obligación de contar con un DPD si tratan datos relativos a infracciones penales u otro tipo de condenas.

El Delegado de Protección de Datos que designen tendrá que ser notificado a una autoridad de control, a la que se le detallarán las funciones concretas que llevarán a cabo.

Registro Interno de Actividades de Tratamiento

Se trata de una de las nuevas obligaciones que impone el RGPD (GDPR) y conlleva la anulación de registrar los ficheros en las Autoridades de Control, tal y como se hacía hasta ahora.

Sin embargo, algunas empresas han de llevar un Registro Interno de Actividades de Tratamiento.

Concretamente, las que cumplan los siguientes requisitos:

  • Tener más de 250 empleados.
  • Que realicen tratamientos de forma ocasional.
  • Dichos tratamientos pudieran poner en riesgo las libertades y los derechos de la gente.
  • Desarrollen la gestión de tratamientos de los datos sensibles como: etnia, religión,…etc.

Conclusión

En definitiva, el Reglamento General de Protección de Datos tiene como principal objetivo establecer un conjunto único de reglas para toda Europa para que, según creen sus responsables, se facilite y abarate el funcionamiento de las organizaciones en toda la Unión Europea.

Por otra parte, las empresas de fuera de la Unión Europea que estén sujetas a la jurisdicción de estos reguladores solo tendrán que tratar con un único interlocutor, lo que provocará el ahorro de unos 2.300 millones de euros por año.