Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR): ¿qué significa para tu empresa?

Escrito por Joost van Koot. Publicado en Biz-box

La digitalización está revolucionando el mundo y, sin duda, nos facilita la vida. Sin embargo, por otro lado, todos estos datos suponen un riesgo, especialmente en lo que se refiere a privacidad. Se trata de una cuestión de gran importancia para la Unión Europea y, por ello, va a introducir el Reglamento General de Protección de Datos (GDPR), una legislación que afectará a un sinfín de empresas de tamaño medio.

GDPR: ¿de qué se trata y cuándo entrará en vigor?

El Reglamento General de Protección de Datos (GDPR) se ha elaborado para reforzar y normalizar la protección de datos de particulares dentro de la Unión Europea. Afectará a muchas empresas, de modo que será importante estar preparados. La legislación es una nueva herramienta legal adoptada el 27 de abril de 2016 y que entrará en vigor el 25 de mayo de 2018, tras un periodo de transición de dos años. El GDPR, a diferencia de las directrices, no necesita más legislación por parte de los gobiernos.

¿Qué ofrece el GDPR?

El GDPR incluye una serie de principios básicos para la protección de datos que resultan importantes para las empresas:

Legalidad, integridad y transparencia: las empresas deben procesar los datos personales de manera legítima y transparente, con integridad respecto a los individuos a los que pertenecen dichos datos.

>Integridad y confidencialidad: las empresas deben procesar los datos personales de modo que se garantice su seguridad. Es decir, protegerlos frente a un procesamiento no autorizado o ilegal, así como frente a la pérdida, la destrucción o los daños no intencionados. Las empresas deben tomar todas las medidas técnicas y organizativas necesarias para ello.

Minimización de datos: los datos personales deben ser adecuados y relevantes, y solo deben tener acceso a ellos las personas necesarias para su procesamiento.

Definición del objetivo: las empresas solo pueden recopilar datos personales con fines específicos, explícitos y legales. No pueden procesarlos de un modo que no esté acorde con los objetivos deseados. El procesamiento de datos personales para su almacenamiento con objetivos de interés público, científico, histórico o estadístico, no se considera “en línea” con el objetivo original. En esos casos, las organizaciones deben cumplir las condiciones recogidas en el artículo 83(1), donde se describen las garantías y las anomalías relacionadas con el procesamiento de datos con los fines anteriormente mencionados.

Definición del almacenamiento: las empresas deben almacenar los datos personales de forma que la identificación de los individuos a quienes hacen referencia solo sea posible durante el periodo de tiempo estrictamente necesario para lograr los objetivos por los que la empresa está procesando dichos datos. Los datos personales se pueden almacenar durante más tiempo para su archivado con objetivos de interés público, científico, histórico o estadístico, pero siempre deben cumplir el artículo 83(1) y la condición de que la empresa tome las medidas técnicas y organizativas apropiadas.

Precisión: los datos personales deben ser rigurosos y actualizarse si es necesario. Las empresas deben tomar las medidas razonables para garantizar que los datos personales que no son precisos, en relación con los objetivos de su procesamiento, se eliminen o se corrijan de manera inmediata y sin demora.

La responsabilidad del controlador

El controlador empresarial desempeña un papel importante en el GDPR: es el responsable de que la empresa cumpla los principios recogidos anteriormente. Además, el controlador debe ser capaz de demostrar dicho cumplimiento.

Prepárate

Como empresa, ¿qué tienes que hacer ante la llegada del GDPR? Todas aquellas empresas que procesen, almacenen y transmitan datos personales deben conocer la legislación del GDPR. Puede resultar relevante, por ejemplo, para los datos de clientes, empleados o proveedores, tanto reales como en potencia. Asegúrate de que cuentas con una política de protección de datos y, si ya tienes una, revísala para estar seguro de que cumple la nueva legislación. Como consecuencia de la nueva legislación, también necesitas implementar nuevas normas de conducta dentro de tu empresa, así como cursos de formación, para garantizar que los empleados actúen de acuerdo con los nuevos principios. Por último, asegúrate de que tu controlador cuenta con todos los medios necesarios para demostrar que tu empresa cumple el GDPR. La nueva legislación no entrará en vigor hasta mayo de 2018, pero no pospongas los preparativos y asegúrate de que tu empresa esté preparada a tiempo para la nueva normativa.

GDPR

GDPR

¿Quieres saber más sobre el tema?

Aquí puedes encontrar más información