Las claves del nuevo Reglamento General de Protección de Datos

Share on LinkedInTweet about this on TwitterShare on Google+Share on FacebookEmail this to someone

El tiempo pasa y el mundo cambia de una forma acelerada. Actualmente, Internet contiene datos personales de muchos de nosotros. El próximo 25 de mayo es la fecha límite para aplicar el nuevo Reglamento General de Protección de Datos (RGPD), una norma de aplicación directa en toda la Unión Europea sustituirá la actual LOPD. A partir de dicha fecha toda empresa deberá cumplir con las leyes si no quiere sufrir graves sanciones. ¿Estás preparado?

andrew-worley-299600

Uno de los cambios más importantes será que toda organización estará obligada a saber exactamente qué datos tiene, cuándo y cómo los ha recopilado, dónde se almacena, quién los maneja y con qué objetivo. La nueva ley, básicamente, garantizará una mayor seguridad y control a cualquier individuo sobre su información personal, de ahí el minucioso control que se tendrá de cualquier dato. Actualmente se mercadea con los datos personales tanto en Europa como en el resto del mundo. Esta nueva ley es europea pero el resto de los continentes deben cumplirla si trabajan con datos europeos. El incumplimiento del RGPD comportará elevadas multas.

Bien, vayamos paso por paso. En este post iremos explicando poco a poco la nueva normativa; en qué influirá, las consecuencias y algunos factores que las empresas deberemos tener controlados.

El nuevo Reglamento General de la Protección de Datos se aprobó en mayo del 2016, así que bastantes puntos que se exigen en la nueva ley (que será aplicable en mayo del 2018) ya se han ido aplicando a lo largo de estos dos años. Como ya hemos comentado anteriormente, la propia empresa deberá analizar todos los datos que han obtenido, con qué finalidad los han recopilado y qué tipo de tratamiento les van a dar a éstos.

El tratamiento de los datos no queda aquí, la recopilación debe ser: justa, legítima y explícita. ¿Qué quiere decir? La empresa solo podrá recopilar información acorde con su actividad económica. Además, deberá pedir la conformidad de la persona de una forma clara, legal y transparente (evidentemente, de una forma entendible). El lenguaje que se utilizará para pedir el consentimiento será sencillo, conciso, estructurado, sin usar una jerga legal, de fácil acceso. Se debe evitar prácticas como pre-marcar las casillas del procedimiento de gestión del consentimiento.

Una vez tengamos recopilada la información de la forma correcta, la empresa deberá tener preparada una plataforma por si el ciudadano quiere tener acceso a la información que se tenga del mismo. Los datos sólo serán usados para un único propósito. Por otro lado, se contemplará su derecho de rectificación de la información que se posee e incluso el derecho al olvido. Los interesados pueden solicitar todos los datos que hacen referencia a ellos, sus localizaciones y su uso. Es decir, pueden pedir explicaciones de su tratamiento y la finalidad de tener la información guardada.

Para velar por el uso correcto de los datos personales y su seguridad, la empresa que trabaja con ellos deberá seguir el principio de la responsabilidad (explicar de una forma clara y sencilla cómo se usará la información), nombrará a un Delegado de Protección de Datos (DPD) que se dedicará al seguimiento de los informes y gestionará las quejas. Otro paso importante que la empresa debe realizar una Evaluación de Impacto de Protección de Datos (DPIA), es decir, plantear un mapeado de los riesgos que puede sufrir la empresa y las medidas que se tomarán frente al problema.

Si en un momento dado la empresa sufre una fuga de datos tendrá 72 horas para avisar a la entidad supervisora. Las multas pueden llegar hasta los 20 millones o a pedir el 4% de la facturación anual global de la empresa. Las entidades que gestionan la protección de datos son: la Agencia Española de Protección de Datos (AEPD), la Autoritat Catalana de Protecció de Dades (APDCAT) y la Agencia Vasca de Datos (AVPD). Dejando de lado las posibles fugas, las agencias también podrán actuar, revisar y pedir el DPIA o la base de datos (con los permisos requeridos) bajo la denuncia de cualquier persona o como una auditoria.

Para cumplir con el nuevo reglamento, la autoridad de la protección de datos recomienda adoptar un modelo de información por capas. El modelo multinivel consiste en:

- Presentar toda la información básica en un primer nivel, de manera muy resumida y clara en el mismo momento y en el medio en el que se recojan los datos. Por ejemplo, información de primer nivel seria comentar en una llamada telefónica el responsable, el motivo por el que queremos los datos, la base jurídica, la fuente de los datos, previsión de ceder o no la información, etc.

- Presentación de información adicional en el segundo nivel. Esta información es mucho más extensa, se trata de una explicación mucho más detallada que incluso se puede adjuntar en otro tipo de formato como un correo electrónico o por correo postal.

blogImagen extraída de la Guía para el cumplimiento del deber de informar

 

En las siguiente semanas iremos informando sobre cómo adaptar Dynamics NAV al nuevo marco legal para evitar posibles fugas de información y garantizar un mayor control de los datos almacenados en el sistema.

 

 

Share on LinkedInTweet about this on TwitterShare on Google+Share on FacebookEmail this to someone

Acerca de Ekamat

Socio tecnológico especialista en la implantación del ERP Microsoft Dynamics NAV y CRM. Somos una empresa de servicios informáticos con más de 40 años de experiencia en el sector, nacida con vocación de ofrecer calidad y dedicación a nuestros clientes. Nuestro objetivo es mejorar el rendimiento de nuestros clientes, ofreciendo soluciones reales adecuadas a cada tipo de negocio.
Esta entrada fue publicada en Datos, Seguridad y etiquetada , , , , , , , , , , , , , . Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>