Según se desprende de un documento de trabajo elaborado por firma de servicios profesionales Grant Thornton, el nuevo reglamento europeo establece nuevos derechos en materia de protección de datos para las personas y refuerza las protecciones actuales, aplicando requisitos más estrictos a los procedimientos en que las empresas utilizan los datos de carácter personal.
De hecho, la génesis de esta nueva legislación se encuentra en el volumen y creación de datos que suscita la proliferación del uso de Internet, las redes sociales, el cloud computing o la geolocalización, entre otras actividades habituales para cualquier ciudadano o empresa en la actualidad.
Según el socio de Innovación y Tecnología de Grant Thornton, Luis Pastor, "el nuevo reglamento nace teniendo en cuenta las exigencias de tecnología digital en el que operan las compañías, que les exige reforzar sus políticas de ciberseguridad aplicada a datos personales de todos los individuos con los que interactúan, ya sean empleados o clientes".
Grant Thornton recuerda que, aprovechando la obligatoriedad de la norma, al mismo tiempo en España se ha impulsado el Anteproyecto de Ley Orgánica (que sustituye a la actual Ley Orgánica de Protección de Datos de 1999) para facilitar la adaptación de la legislación nacional al RGPD europeo, que deberá ser aprobada antes de la entrada en vigor de esta nueva normativa europea.
La firma añade que, a pocos meses de la entrada en vigor del Reglamento, el conocimiento de las medidas que las compañías han de poner en marcha no es muy elevado, a pesar de que si no se hace pueden enfrentarse a fuertes sanciones contempladas en la nueva legislación, que pueden ascender en los casos de carencias operativas más graves a multas de hasta 20 millones de euros o el 4% de la facturación global anual.
Entre otras medidas, el RGPD introduce cambios en la gestión de los datos de particulares por parte de las empresas, como por ejemplo el derecho a oponerse por parte de los clientes a ciertos tipos de elaboración de perfiles; las evaluaciones de impacto relativas a la Protección de Datos (EIPD) que serán de carácter obligatorio; la notificación de las infracciones importantes a la autoridad responsable en un plazo de 72 horas.
Según Pastor, "para cumplir con el RGPD las empresas y organizaciones deben comprender los principales cambios que supone frente a la legislación actual, evaluar la política de protección de datos actual de sus organizaciones, identificar los posibles riesgos y comprobar el grado de preparación de su empresa para adaptarse a los nuevos requisitos. Tras estos pasos debería establecerse una hoja de ruta de implantación, en la que una figura importante es el nombramiento de un asesor de confianza que evalúe el proceso de implantación".
DECÁLOGO DE AYUDA A LAS EMPRESAS
Con el fin de que las empresas diagnostiquen fácilmente su estado de adaptación a la nueva norma, Grant Thornton aconseja seguir un plan que condensa en diez puntos el camino que una organización debería completar para tener un nivel óptimo de protección en sus datos.
En este decálogo, las empresas comienzan haciendo un análisis rápido de su situación, para pasar a preguntarse si cuentan con los procesos, recursos humanos y documentación exigida por la nueva normativa. Además, las compañías deben tener claro dónde se procesan sus datos de carácter personal y dotarse de un adecuado sistema de evaluación del impacto de protección de datos.
"Es recomendable asimismo que la empresa sepa cómo debe notificar una posible infracción y que evalúe periódicamente la eficacia de sus medidas de seguridad, porque el RGPD no sólo exige verificación, sino también mejora continua", según Víctor Géne, Asociado Senior de Legal de Grant Thornton.
No hay comentarios:
Publicar un comentario