El nuevo reglamento de protección de datos europeo está dando mucho que hablar, 2018 será el año de la seguridad y la protección.
No obstante, hay una fecha marcada en rojo en el calendario empresarial, el 25 de mayo. A partir de ese día, el RGPD (Reglamento General de Protección de Datos) se aplicará definitivamente a todas las organizaciones. Sin embargo, todavía son muchas las dudas que existen en torno a esta nueva legislación. En este contexto Hocelot, compañía especializada en la obtención y verificación de datos de personas físicas en tiempo real, advierte de los cambios que las empresas deben afrontar para cumplir con esta nueva regulación.
“Las empresas tienen ante sí el reto de adaptar sus herramientas para poder cumplir con los requisitos sobre la protección de datos personales”, comenta Antonio Camacho, fundador de Hocelot. “En este contexto, uno de los principales focos de atención de las empresas son las bases de datos, las cuáles deben estar actualizadas y contar con un mayor nivel de protección frente a posibles ataques que pongan en riesgo la confidencialidad de los datos de los usuarios”, añade Camacho.
La figura del Delegado de Protección de Datos
Las empresas han tenido un periodo de adaptación para ir implementando nuevas medidas en sus estructuras internas, con el fin de cumplir con los principios, derechos y garantías que el Reglamento establece. En este contexto, el RGPD obligará a muchas empresas a nombrar a un delegado de protección de datos (DPO) para ayudar a supervisar los esfuerzos de su cumplimiento. Esta figura juega un papel determinante, ya que, en caso de incumplir las normas del nuevo reglamento, las empresas se enfrentan a multas que pueden ascender hasta el 4% de la facturación mundial de una entidad, o 20 millones de euros (la cuantía que más alta resulte).
Evaluación de impacto del tratamiento de datos personales
Otra nueva obligación que establece el RGPD, y que afecta directamente a la información almacenada por las organizaciones en sus bases de datos, es la de realizar una evaluación de impacto para las empresas que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluarel origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
Obtención del consentimiento para el tratamiento de datos
Por otra parte, uno de los principales cambios a los que tienen que hacer frente las empresas se basa en obtener consentimiento por parte de los usuarios para hacer uso de sus datos, algo que a partir de mayo va a cambiar de forma sustancial. En la actualidad se permite recibir un “consentimiento tácito”, mientras que la nueva legislación obliga a que el consentimiento sea explícito por parte del usuario.
Sectores como el ecommerce, por ejemplo, tendrán que realizar cambios en su modelo de formulario, ya que será necesario crear una casilla de verificación en la que el usuario pueda marcar su consentimiento. Servicios como Smart Data, de Hocelot, permiten simplificar de forma extrema los formularios que se precisan para realizar un alta de cliente sin perder un ápice de información y cumpliendo con la nueva legislación. En este sentido, con tan solo 7 datos es posible complementar dicha información sin poner en riesgo a la organización, gracias a las variables externas que nutren su plataforma de Big Data.
Ampliación del deber de información
Por último, la legislación actual establece que a la hora de recoger el consentimiento de los interesados se les debía informar de la persona responsable del fichero, de la existencia de los ficheros inscritos en el Registro General de Protección de Datos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los Derechos ARCO.Desde mayo de 2008, además de estos datos, el Reglamento exige la obligación de informar sobre la base legal para el tratamiento de los datos, acerca del periodo de conservación, así como la posibilidad de hacer reclamaciones…
“La elaboración de perfiles y segmentación de clientes van a cambiar de forma significativa. Hasta ahora, cuando un usuario realizaba una compra en un portal de internet solía rellenar un formulario ligado a una política de privacidad, por lo que era lícito utilizar esos datos para realizar campañas de emailing promocionando ofertas vinculadas al portal”, advierten desde Hocelot. “Sin embargo, con la llegada del nuevo reglamento, para realizar un análisis de perfiles, se necesitará el consentimiento expreso del usuario, al mismo tiempo que se le informa del uso que se hará de esa información personal”, añaden.
Para solventar algunos de estos problemas, Hocelotrecomienda mantener actualizadas las bases de datos para evitar posibles sanciones que afecten al uso indebido de la información registrada. “Debemos corroborar periódicamente los datos que tenemos en nuestros ficheros, puesto que un simple error, como es un número de teléfono equivocado, puede tirar por tierra el trabajo de toda la organización y condenarla a una sanción ejemplar”, concluye Camacho.
Te interesa:
- Desmontando los mitos del Reglamento General de Protección de Datos
- Desmontado los mitos del RGPD (2ª parte)
- La AEPD presenta ‘Facilita RGPD’, una herramienta para ayudar a las empresas a cumplir con la protección de datos