El nuevo reglamento general de protección de datos entró en vigor en mayo de este año y a pesar de toda la información que se generó en torno a esta nueva ley, la verdad es que muchas empresas todavía se sienten perdidas y aún no han comenzado a proteger su información. Por eso, preparamos una guía definitiva con toda la información que necesita conocer para proteger su negocio bajo la nueva ley de protección de datos.
El RGPD pretende alinear los requisitos de protección de datos en los distintos Estados miembros de la Unión Europea, haciendo que esta cuestión sea más coherente. Según un estudio de IDC, la seguridad de los datos encabeza la lista de preocupaciones en las empresas europeas y esta norma ayuda a las organizaciones a garantizar la protección de su información. Los ciudadanos también se benefician de esta ley, ya que ganan un mayor control sobre sus datos personales.
Los datos personales son todos aquellos que revelan el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical y los datos relativos a la vida sexual o la orientación sexual.
La regulación crea barreras adicionales a las prácticas actuales de recolección y procesamiento de datos en Portugal y en la Unión Europea, la introducción de normas más estrictas para las empresas con respecto a dar su consentimiento a la recogida y tratamiento de datos personales. Las empresas tienen que considerar la creación de un contrato con el titular de los datos, el cumplimiento de obligaciones jurídicas y la defensa de intereses vitales del titular de los datos. Con el nuevo reglamento, un contacto de una tarjeta de visita, por ejemplo, no podrá ser incluido en ninguna base de datos sin el consentimiento explícito de su titular. En términos prácticos, el uso de cajas previamente seleccionadas, la ausencia de respuestas, la inactividad y el consentimiento a través de términos y condiciones dejarán de ser permitidos, pues ninguno de los medios presentados es considerado un medio de demostración del cumplimiento de los requisitos de consentimiento del nuevo Reglamento.
La empresa debe asegurarse de que los datos altamente sensibles están encriptados o enmascarados para que no exista el riesgo de ser perdidos y la empresa sea víctima de las graves multas que figuran en el nuevo Reglamento. Datapeeers ofrece una variedad de técnicas sofisticadas scrambling para proteger datos sensibles, reemplazándolos de forma irreversible por datos ficticios pero realistas.
Esta figura desempeña un papel esencial en el período transitorio de la ley antigua a la nueva legislación. La persona responsable de la protección de datos debe asegurarse de que todo se encuentra perfectamente legal en la fecha de entrada en vigor del RGPD. Esta función se asigna cuando el procesamiento de los datos se realiza en una entidad pública; siempre que haya una supervisión constante de personas a gran escala y siempre que haya procesamiento de datos sensibles a gran escala. Este profesional debe formar a su equipo, realizar auditorías y ser el punto de contacto con las autoridades de protección de datos.
El nuevo Reglamento exige que se designe un DPO si uno de estos casos es el siguiente:
De acuerdo con el RGPD, el Data Protection Officer (DPO) puede ser cualquier persona que trabaje en la organización, siempre que reúna algunas condiciones. El DPO necesita tener conocimientos especializados en el ámbito del derecho y las prácticas de protección de datos. No es obligatorio que sea un abogado, pero este profesional tiene que tener conocimientos jurídicos en profundidad en el área de protección de datos y experiencia en este sector. El DPO tendrá que tener la capacidad para asesorar a la Administración de la empresa ya sus colaboradores acerca de las obligaciones del Reglamento, así como de las demás disposiciones de protección de datos vigentes en la UE y en otros Estados miembros. Es importante que este profesional tenga aptitud para enseñar, comunicar sus ideas y hacerse entender a todos los colaboradores de la empresa. El DPO necesita conocer al detalle todo sobre la empresa, en particular los procedimientos de cada departamento. Al DPO se requiere el control de la conformidad de los procesos de la empresa con el nuevo RGPD, a través de auditorías. El reglamento permite que el DPO desempeñe otras funciones además de la responsabilidad con la protección de los datos, pero se aconseja que este profesional dedique la mayor parte (o incluso la totalidad) de su tiempo a las cuestiones de protección de datos y cumplimiento de la legislación.
Acerca del autor