Cumplimiento GPDR. ¿A quién afecta?
A instituciones públicas, organizaciones sin ánimo de lucro y todo tipo de empresas que recopilan y analizan datos de ciudadanos residentes en la Unión Europea (UE). Ahora bien, el Reglamento incluye excepciones para las microempresas, las pequeñas y medianas empresas y las organizaciones con menos de 250 empleados. En concreto, estas empresas no estarán obligadas a tener un registro de las actividades del tratamiento de los datos que atesoran.
¿Qué se consideran ‘datos personales’?
Datos personales’ es cualquier información relacionada con una persona identificada o identificable. No hay distinción entre las funciones privadas, públicas o laborales de una persona Los datos personales pueden incluir:
Nombre
Domicilio
Dirección del trabajo
Número de teléfono
Dirección de correo electrónico
DNI o equivalente
Información física, fisiológica o genética
Información médica
Identidad cultural
Número de cuenta bancaria
Número de tarjeta de crédito/débito
Perfiles de redes sociales
Publicaciones en redes sociales
Dirección IP
Ubicación/datos de GPS
Cookies
¿Qué tipo de sanciones conllevará su incumplimiento?
Las organizaciones pueden enfrentarse a multas de hasta 20 millones de euros o el 4% de su volumen de negocio global anual
¿Cómo obtener el consentimiento inequívoco del usuario?
El Reglamento recoge que el consentimiento, con carácter general, debe ser libre, informado, específico e inequívoco. Esto supone que debe existir una declaración del interesado o una acción positiva. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos
El denominado ‘consentimiento tácito’ dejará de ser legal
Cuando se trate de datos “sensibles” no será suficiente con una acción positiva de carácter general, sino que deberá especificarse explícitamente el tipo de tratamiento de los datos que se realizará. Las organizaciones deben ser capaces de demostrar que el usuario ha otorgado su consentimiento y para ello necesitará usar sistemas técnicos verificables
¿Cómo debe ser un aviso de privacidad?
El GDPR obliga a las entidades a informar en sus avisos de privacidad de: la base legal que da cobertura al tratamiento de los datos; el período de retención de los mismos; y los pasos que deben seguir los interesados para realizar cualquier reclamación. La norma exige de forma expresa que la información que se proporcione sea fácil de entender y que se presente en un lenguaje claro y conciso.
Es recomendable –y en ciertos casos obligatorio– que las organizaciones nombren un representante de protección de datos o DPO que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos. Los datos de contacto de ese representante deberán proporcionarse a los interesados.
¿Qué es la responsabilidad proactiva?
Hace referencia a la obligación de las organizaciones de garantizar técnicamente el cumplimiento del GDPR. Engloba varias medidas que toda entidad debe tener en cuenta y que sirven como hoja de ruta para el diseño de un proceso estándar de tratamiento de datos:
Protección de datos desde el diseño
Protección de datos por defecto
Medidas de seguridad
Mantenimiento de un registro de tratamientos
Realización de evaluaciones de impacto sobre la protección de datos
Nombramiento de un delegado de protección de datos
Notificación de violaciones de la seguridad de los datos
Promoción de códigos de conducta y esquemas de certificación
ABD Consultoría y Soluciones Informáticas , como Partner especializado en soluciones de productividad en la nube de Microsoft, ayuda y asesora a las empresas a implantar soluciones que cumplan con la GPDR. Para ello, los productos y servicios de Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10 garantizan la detección y evaluación de amenazas de seguridad y el cumplimiento de las obligaciones del GDPR.
RECUERDA: El Parlamento Europeo aprobó el GDPR en abril de 2016, pero su aplicación comenzará el 25 de mayo de 2018.