El 25 de mayo de 2018 entró en vigor el Nuevo Reglamento Europeo de Protección de Datos. Hasta esa fecha, la actual normativa en materia de protección de datos es la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, pero a partir del 25 de mayo se impuso la legislación europea, a la espera de que los estados miembros desarrollen leyes que la complementen.
¿Cuáles son los cambios y las principales novedades que se producen con el nuevo reglamento de protección de datos y cómo pueden afectar a las PYMES?
El objetivo del Nuevo Reglamento Europeo de Protección de Datos RGPD (GDPR por sus siglas en inglés) es proteger a todos los ciudadanos de la UE de la privacidad y las infracciones de datos en un mundo cada vez más basado en ellos, y que es muy diferente al del momento en que se estableció la última directiva con fecha de 1995.
Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la normativa anterior, se han propuesto muchos cambios a las políticas regulatorias. A continuación, se exploran las responsabilidades más acuciantes que apuntala el GDPR, así como la información sobre el impacto que tendrá en las empresas y que novedades trae consigo la nueva ley.
Los cambios y novedades de un reglamento a otro son numerosos, y las consecuencias de incumplir la ley también varían, siendo mucho más duras en el nuevo escenario. Las más importantes afectan a la ubicación de la empresa, al derecho al olvido y al consentimiento.
Podría decirse que la mayor revolución en el panorama regulatorio de la privacidad de los datos proviene de la jurisdicción ampliada del GDPR. Ahora la ley de protección de datos se aplica a todas las empresas que procesan datos personales de ciudadanos que residan en la Unión, independientemente de la ubicación de la empresa.
Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al proceso de datos en función del contexto de cada compañía. Este tema ha sido problemático en una serie de casos judiciales de alto perfil. El GPDR simplifica y aclara las cosas, pues también se aplicará al procesamiento de datos de personas en la UE que estén en manos de un controlador establecido fuera de la Unión.
El GDPR es meridiano en este aspecto: mientras la compañía procese o almacene datos personales de residentes en la UE, está obligada a cumplir las reglas, sin importar dónde se encuentren su sede o sus servidores. Esto supone un cambio trascendental para grandes multinacionales del sector tecnológico como Facebook o Amazon, que ahora pasan a estar regidos por la norma comunitaria por más que sean extranjeras.
El llamado “derecho al olvido” confiere potestad al ciudadano para obligar a la entidad que posee sus datos a borrarlos de sus archivos y cesar su difusión. En las condiciones para el borrado, tal y como se describen en el artículo 17, figuran circunstancias tales como que los datos ya no sean relevantes para los propósitos originales que motivaron su procesamiento, o que los dueños de los datos, sencillamente, retiren el consentimiento.
También se debe tener en cuenta que este derecho exige que los controladores comparen los derechos de los ciudadanos al interés público en la disponibilidad de los datos una vez se evalúen dichas solicitudes.
Otra novedad de esta ley es que las condiciones para el consentimiento se han fortalecido, y las empresas ya no podrán usar términos y condiciones indescifrables repletos de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso. El propósito es que sea tan simple y rápido retirar el consentimiento como darlo.
En lo que respecta a las pequeñas y medianas empresas, de acuerdo con los datos arrojados por una encuesta llevada a cabo por el antivirus Sophos, las pymes no están suficientemente alerta de los cambios que vienen.
Según este sondeo, el 80% de las compañías de Reino Unido, Francia, y el BENELUX declara ignorar las consecuencias del GDPR.
En el conjunto de Europa la cifra se reduce, pero no mucho: hasta un 55% de las compañías afirma no tener claras cuáles pueden ser las cuantías de las multas en caso de incuplir con la normativa.
El escenario es preocupante, ya que una de las grandes características del nuevo reglamento con respecto al anterior se refiere a la suma de las sanciones, de mayor calado.
A partir del 25 de mayo, las multas podrán alcanzar los 20 millones de euros o el 4% de la facturación global del negocio, lejos de los 600.000 que hasta el momento suponen el máximo pagado por una empresa española como consecuencia de un incumplimiento de la (de momento vigente, pero en pocos meses obsoleta) LOPD.
Por ello, se hace esencial que las pymes tengan claras cuáles son sus nuevas obligaciones a falta de sólo unos meses para que la GDPR entre en vigor.
Algunas de las medidas más apremiantes que los empresarios deben cumplir rigurosamente, ya que difieren de la ley actual, son las siguientes:
En resumen, las pymes deben darse cuenta de que, a falta de sólo cinco meses para que el Nuevo Reglamento Europeo de Protección de Datos sea efectivo, muchas de ellas no están preparadas para someterse a las transformaciones necesarias para cumplirla.
El mundo de los negocios está cada vez más informatizado, lo que hace del tráfico de datos algo tan imprescindible como delicado. El desafío es estar a la altura cuando la nueva norma entre en vigor.
Más información
Cómo adaptar una tienda online a la LOPD 2018
¿Cumple tu empresa con la normativa de la LOPD 2018?
¿Cómo se pueden adaptar las pymes al nuevo reglamento de protección de datos?
¿Qué mínimos legales debe cumplir mi página web?
Cómo afecta la nueva ley de protección de datos 2018 a mi página web
¿Eres un proveedor de soluciones TIC y quieres aparecer en este portal?
¿Eres una empresa y no encuentras lo que estás buscando?
Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.