El 25 de mayo de 2018 marcará un antes y un después en el ámbito de la legislación de protección de datos. Ese día se implementará el Reglamento General de Protección de Datos Europeo, también conocido como GDPR (las siglas de General Data Protection Regulation).
Aunque la fecha de su entrada en vigor fue el 25 de mayo de 2016, cuando se cumpla el período de transición de dos años estipulado por los organismos reguladores de la Unión Europea, toda empresa que infrinja las obligaciones de esta normativa se enfrentará a multas de hasta 20 millones de euros. Son varios los dapartamentos de la organización implicados, desde Recursos Humanos a Jurídico y Marketing, por mencionar alguno de ellos. Uno de los pasos fundamentales a realizar para adaptarse al GDPR es concienciar a la organización de que éste no es un tema únicamente de IT. Por lo tanto, ¡que no te pille desprevenido! En este post encontrarás la respuesta a las cuatro cuestiones fundamentales sobre el GDPR.
¿Qué es el GDPR?
El objetivo principal de este nuevo reglamento es proteger la privacidad de los datos personales de los ciudadanos de la Unión Europea y controlar cómo empresas e instituciones procesan, almacenan y utilizan esos datos. La nueva normativa sustituye a la Directiva de Protección de Datos de 1995 para adaptarse al contexto actual a la vez que armoniza y unifica las legislaciones específicas de cada país. Precisamente, su carácter de reglamento lo convierte directamente en vinculante.
El GDPR busca devolver a los ciudadanos de la UE el control sobre sus datos personales con normas estrictas que finiquitan la ambigüedad de la directiva previa y de las legislaciones específicas de cada país. Entre los derechos que otorga a los ciudadanos destacan el derecho de acceso (las personas físicas podrán exigir a una organización información sobre si almacena datos personales suyos, dónde y para qué), el derecho al olvido (un individuo podrá solicitar que se borren sus datos personales si ya no son necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan conseguido de forma ilícita) o el derecho a la portabilidad de los datos (una persona podrá solicitar sus datos personales a una empresa en un formato que le permita trasladar esos datos a otra compañía).
¿El GDPR afecta a mi empresa?
Si procesa y almacena los datos personales de residentes en la Unión Europea, independientemente de la ubicación de tu compañía, sí, rotundamente. La nueva normativa no se aplica únicamente a las organizaciones localizadas en la UE, también es aplicable en organizaciones situadas fuera de la UE si ofrecen bienes o servicios a sujetos de la Unión Europea o monitorizan su comportamiento. Este punto es fundamental, ya que, tal y como demuestra este estudio de Spiceworks, muy pocas empresas estadounidenses obligadas a respetar el GDPR están preparadas. Solo el 5% de los responsables de IT de empresas estadounidenses afirma haber empezado a prepararse para el GDPR. Es más, la mayoría ni siquiera está preocupado por el grave perjuicio económico que podría suponer para su empresa incumplir esta regulación: solo el 10% teme una multa.
¿Cómo cumplo con el GDPR?
El nuevo reglamento exigirá cambios en la forma de gestionar la protección de los datos personales, demandando un mayor compromiso de las organizaciones tanto públicas como privadas. Lo más importante es el papel que adquirirá la denominada “responsabilidad activa”, otorgando un mayor peso a la prevención de cualquier incidente que afecte a datos personales. El reglamento expone que actuar cuando se ha cometido una infracción es insuficiente, ya que dicha infracción podría causar daños a los sujetos difíciles de compensar. Por tanto, las empresas están obligadas a adoptar medidas que aseguren que están en condiciones de cumplir con los principios, derechos y garantías que establece el GDPR. Por ejemplo: realizar auditorías internas para comprobar el estado de seguridad de los sistemas de la organización, mantener un registro de tratamiento de datos, disponer de herramientas para notificar obligatoriamente los incidentes de seguridad en menos de 72 horas, revisión de las políticas de privacidad, implantar mecanismos para reducir el riesgo de ser víctima de un ataque y evaluar los indicadores de riesgo de manera continua…
Las empresas que confían en Adaptive Defense, parten con ventaja a la hora de cumplir con las exigencias de la GDPR, ya que dispone de herramientas para implantar todas estas medidas de prevención y protección.
¿Qué pasa si infrinjo el GDPR?
Las multas por incumplir el nuevo reglamento serán cuantiosas pudiendo alcanzar los 20 millones de euros o equivaler al 4% de la facturación global anual de la empresa. Estas sanciones máximas serán impuestas en el supuesto de que una empresa tenga infracciones muy graves como no tener el consentimiento suficiente del cliente para procesar sus datos.
Más allá del impacto económico de las multas impuestas por los reguladores y de las posibles indemnizaciones exigidas por las personas físicas que hayan visto como se vulnera la privacidad y seguridad de sus datos personales, el incumplimiento del GDPR también supone otros problemas asociados. Entre ellos destacan el daño reputacional derivado de la obligación de notificar los incidentes de seguridad y la posible pérdida de clientes cuando la empresa no puede demostrar que cumple la normativa.
A pesar de que aún quedan unos meses hasta que el GDPR sea de obligatorio cumplimiento, no es momento de dormirse en los laureles. Podrás encontrar más información que te ayudará a cumplir con la nueva normativa en nuestra “Guía de anticipación al Nuevo Reglamento General de Protección de Datos Europeo”.