Una nueva regulación de protección de datos de la Unión Europea entrará en vigor el 25 de mayo de 2018 y se denomina GDPR (Reglamento General de Protección de Datos). Las empresas incluidas en este nuevo reglamento deberán cumplir varios nuevos requisitos en relación a la forma en que recogen y utilizan los datos personales de los ciudadanos de la UE. Aunque pueda sonar aburrido e irrelevante para según qué negocio y podamos pensar que 2018 todavía queda lejos, tal vez debamos prestar un poco de atención a la nueva regulación.
Concretamente hay 5 hechos que todas las empresas necesitan conocer:
1. El GDPR afectará a cualquier empresa que procese datos personales de ciudadanos europeos, independientemente de si esta organización está establecida en la UE o no.
2. Al hablar de «datos personales» no se refiere sólo a nombre, dirección o DNI. La definición en la regulación se refiere incluso a un simple ID extraído de las redes sociales de un ciudadano de la UE. En concreto, la definición de datos personales hace mención a «cualquier información que pudiera utilizarse, por sí sola o conjuntamente con otros datos, para identificar a un individuo».
3. Si su organización no cumple con los términos de esta regulación, y debería hacerlo, puede suponer importantes multas. Las sanciones por este tipo de delitos relacionados con el control y la mitigación pueden ascender al 2% de la facturación anual total, mientras que los delitos relativos a derechos y obligaciones pueden ascender al 4% del volumen de negocio de la empresa. Cuanto mayor sea la facturación de una empresa, mayor será la multa que pueda recibir.
4. El nuevo Reglamento distingue entre los controladores de datos y los procesadores de datos (tal como lo hace la directiva actual). El controlador de datos es la organización que determina los propósitos y medios del procesamiento de datos personales, mientras que un procesador es alguien que procesa los datos en nombre de otros. La mayoría de las organizaciones modernas caen bajo la definición de controlador, lo que significa que a partir de mayo de 2018 tendrá que cumplir con varios nuevos requisitos de datos. Pero los procesadores también tendrán obligaciones como las que se oponen hoy en día cuando el controlador tiene la plena responsabilidad. Como ejemplo, los procesadores tendrán que informar de las infracciones de datos a partir de mayo de 2018 y tienen la obligación de informar al controlador de datos si sospechan que una instrucción de procesamiento de datos no se ha realizado de forma correcta.
5. La nueva normativa es muy exigente. Estos son los 3 cambios más destacables:
• Si procesa datos personales a gran escala, deberá nombrar a un oficial de protección de datos
• Recolectar el consentimiento de los consumidores va a ser mucho más difícil, puesto que un individuo tiene que confirmar de forma activa que está de acuerdo con el uso de sus datos, y la empresa u organización tiene que ser muy clara acerca del propósito de dicha recopilación de datos
• El consumidor tendrá varios nuevos derechos, por ejemplo, el derecho a recibir información fácilmente legible sobre los datos que está almacenando sobre él y que estos datos sean corregidos o eliminados por completo
Como resumen, es necesario revisar los datos que se recolectan de clientes y usuarios, así como los procesos que se utilizan para ello. En Mayo de 2018 la nueva regulación va a suponer un cambio y tenemos que estar preparados.
Entrada escrita por Carlos Dufour, Country Manager de Stibo Systems Iberia.