Cómo afectará el nuevo reglamento europeo de Protección de Datos a las pymes
- 13 febrero 2017
- Asesoría
El Reglamento General de Protección de Datos, que entró en vigor el pasado 25 de mayo de 2016, será de obligado cumplimiento a partir del 25 de mayo de 2018.
Antes de esta fecha, las empresas deberán adaptarse a la nueva normativa, ya que en caso contrario podrían enfrentarse a sanciones de hasta 20 millones de euros.
La finalidad del nuevo reglamento consiste en establecer un marco europeo común en materia de Protección de Datos, para así mejorar los procesos y reducir los trámites burocráticos para lograr un mayor compromiso de las empresas con la gestión y privacidad de los datos.
Las principales novedades que incluye son las siguientes:
1. Consentimiento expreso
El consentimiento es un derecho fundamental en el tratamiento de datos personales. En este sentido, el reglamento exige que éste sea libre, informado, específico e inequívoco, y nunca debe deducirse del silencio o inacción de los usuarios. El consentimiento nunca se prestará en términos generales sino que deberá prestarse para cada finalidad concreta de tratamiento.
Por este motivo, la nueva normativa requiere que los interesados manifiesten este consentimiento de forma expresa y revocable, por lo que a partir del 25 de mayo de 2018 no se admitirá otro tipo de consentimiento.
2. Transparencia e información al interesado
Toda información suministrada al interesado deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
3. Adaptación de cláusulas y políticas informativas
Es obligatorio informar al cliente de las novedades que establece la nueva normativa de Protección de Datos mediante las herramientas de comunicación de la empresa, como páginas web, correo electrónico o boletines informativos. Se recomienda a las empresas, por tanto, que repasen y adapten sus políticas informativas.
4. Evaluación del Impacto en la Protección de Datos (PIA)
Otra novedad del reglamento consiste en la obligatoriedad de la puesta en marcha en las empresas de una Evaluación de Impacto en la Protección de Datos Personales, también conocida como Privacy Impact Assessments (PIA).
Se trata de una herramienta muy útil que tiene como finalidad mejorar la privacidad en todo el ciclo de vida del dato alojado en el momento de someterlo a análisis para, de esta manera, comprobar si pone el riesgo el derecho fundamental. Una vez obtenidos los resultados, es necesario aplicar las medidas de seguridad pertinentes.
5. Derecho a la portabilidad de los datos
Este derecho implica que los datos del interesado se transmiten (previa solicitud) de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.
6. Nombramiento de un Delegado de Protección de Datos
La nueva normativa exige que las empresas cuya actividad principal consista en el tratamiento masivo de datos personales cuenten con un Delegado de Protección de Datos (DPO). Esta nueva figura, especialista en derecho de protección de datos, deberá informar y asesorar a los responsables del tratamiento de los datos personales de sus obligaciones, además de determinar los riesgos en la protección de determinados datos y proponga soluciones a la empresa. Asimismo, podrá ser representada por un profesional en plantilla o ajeno a la empresa.
7. Obligación de notificar quiebras de seguridad
A partir de ahora, con el nuevo reglamento deben notificarse las denominadas “violaciones de seguridad de los datos”. El plazo para realizar dicha comunicación es dentro de las 72 horas siguientes a que el responsable tenga constancia de dicho suceso.
8. Introducción de certificados y sellos
Con la finalidad de ayudar a las empresas a impulsar su reputación corporativa y su competitividad, se introducen nuevos mecanismos de certificación que garantizan el cumplimiento de la normativa europea y a la calidad de la protección de datos.
9. Adhesión a códigos de conducta
Los códigos de conducta facilitan la correcta aplicación de la Ley General de Protección de Datos en los diferentes ámbitos sectoriales. Estos códigos son de carácter voluntario y sólo obligan a quienes se comprometan a aplicar sus disposiciones.
Guías para ayudar a las pymes a adaptarse al nuevo reglamento
Con la finalidad de ayudar a las empresas a mostrar qué pasos deben seguir para adaptarse a la nueva normativa europea de Protección de Datos, la Agencia Española de Protección de Datos (AEPD) ha publicado una serie de guías informativas que se encuentran disponibles a través de su web.
Para más información o aclaración de dudas sobre cómo adaptarse al Reglamento General de Protección de Datos, pueden contactar con nuestro departamento de LOPD (monica.vilallave@cinc.es).
Muy cordialmente,
CINC Asesoría de empresas