¿Qué es GDPR y cómo afecta a mi empresa?

Esto es lo que toda empresa que hace negocios en Europa necesita saber sobre GDPR

¿Qué es el GDPR?

La Unión Europea (UE) ha actualizado su normativa en materia de protección de datos. Esta nueva norma recibe el nombre de Reglamento General de Protección de Datos (RGPD, en español o GDPR en inglés), y se aplica de forma general a todo tipo de entidades, desde a autoridades públicas a pequeñas y medianas empresas, sin diferenciar si el tratamiento tiene lugar dentro de la UE o fuera, siempre que afecte a ciudadanos europeos.

El GDPR pasó a ser de obligado cumplimiento el pasado 25 de mayo de 2018, cambiando algunos aspectos relevantes en el tratamiento de datos personales por parte de las empresas.

Consentimiento explícito

Se anula “de facto” el consentimiento implícito que en muchos tratamientos de datos se venía haciendo y se implanta un consentimiento expreso y explícito real. Con el nuevo reglamento, el consentimiento tiene que informar de cuáles van a ser los objetivos del tratamiento y del responsable del mismo. Deberá informarse si los datos personales objeto del tratamiento, van a ser gestionados en terceros países. Es recomendable que esta gestión internacional se realice en países de la UE.

Mayor control de proveedores

Con el nuevo reglamento aumentan los controles sobre los proveedores con acceso a datos sobre todo para los proveedores de fuera de la UE. Estos deberán ser más exhaustivos y contractualmente se regularán todos aquellos aspectos que inciden en la seguridad de la información que se maneje. La comunicación de las incidencias de seguridad de los proveedores será, por ejemplo, un aspecto a regular a la hora de ofrecer servicios por parte de un tercero.

Documentación y registro

Será necesario actualizar los procedimientos y registros existentes para su adecuación a la nueva normativa. El inicio de cualquier operación de gestión de información y datos personales llevará implícita la filosofía de “privacy by default”. Es decir que el planteamiento de cualquier nueva actividad tiene que pasar por proteger la privacidad de la información que se maneje, desde el momento de su concepción.

Los procedimientos implantados tienen que reflejar la realidad de la entidad y han de poderse auditar en cualquier momento. El nuevo reglamento prevé nuevos procedimientos y controles sobre la retención de la información, gestión de los backups y otros aspectos prácticos del funcionamiento de cualquier entidad.



Análisis de riesgos

Cuando la gestión de datos pueda incurrir en un alto riesgo para los derechos y libertades de las personas, se debe llevar a cabo un análisis de riesgos sobre la protección de los datos de carácter personal antes del inicio del tratamiento.

Nuevos derechos

El GDPR refuerza los derechos que ya tenían las personas en cuanto a la gestión de sus datos personales y crea otros nuevos. En concreto se trata del derecho al olvido, que posibilita la eliminación de los datos de los usuarios; el derecho de portabilidad, que permite llevar los datos de un proveedor a otro y el derecho de oposición a que se realicen perfiles con objetivos de marketing con la información de los usuarios.

Notificación de incidencias

Las incidencias que tenga repercusión en la seguridad de la información y de los datos personales tendrán que ser comunicadas a las autoridades de control en un plazo máximo de 72 horas. Los usuarios también deberán ser informados de las incidencias que afecten a sus datos personales.

Delegado de Protección de Datos (DPO)

El nuevo reglamento contempla la creación de la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), obligatoria para las entidades públicas y en aquellas empresas en que la gestión de datos personales sea crítica por formar parte del núcleo de su negocio. Deberá informarse a la hora de recoger datos de los interesados de la identidad concreta y datos de contacto del responsable que va a llevar a cabo esta recogida y gestión de la información o de su representante.

Auditorías periódicas

Por último, las entidades que gestionen datos personales deberán someterse a auditorías periódicas que revisen el estado de los procedimientos de gestión de esos datos personales.