INSTRUMENTOS

Cuatro principios imprescindibles para cumplir con el RGPD

El nuevo reglamento de protección de datos europeo está dando mucho que hablar, 2018 será el año de la seguridad y la protección. No obstante, hay una fecha marcada en rojo en el calendario empresarial, el 25 de mayo. A partir de ese día, el RGPD (Reglamento General de Protección de Datos) se aplicará definitivamente a todas las organizaciones.

Sin embargo, todavía son muchas las dudas que existen en torno a esta nueva legislación. En este contexto Hocelot, compañía 100% de capital español especializada en la obtención y verificación de datos de personas físicas en tiempo real, advierte de los cambios que las empresas deben afrontar para cumplir con esta nueva regulación.

“Las empresas tienen ante sí el reto de adaptar sus herramientas para poder cumplir con los requisitos sobre la protección de datos personales”, comenta Antonio Camacho, fundador de Hocelot. “En este contexto, uno de los principales focos de atención de las empresas son las bases de datos, las cuáles deben estar actualizadas y contar con un mayor nivel de protección frente a posibles ataques que pongan en riesgo la confidencialidad de los datos de los usuarios”, añade Camacho.

1. La figura del Delegado de Protección de Datos

Las empresas han tenido un periodo de adaptación para ir implementando nuevas medidas en sus estructuras internas, con el fin de cumplir con los principios, derechos y garantías que el Reglamento establece. En este contexto, el RGPD obligará a muchas empresas a nombrar a un delegado de protección de datos (DPO) para ayudar a supervisar los esfuerzos de su cumplimiento. Esta figura juega un papel determinante, ya que, en caso de incumplir las normas del nuevo reglamento, las empresas se enfrentan a multas que pueden ascender hasta el 4% de la facturación mundial de una entidad, o 20 millones de euros (la cuantía que más alta resulte).

2. Evaluación de impacto del tratamiento de datos personales

Otra nueva obligación que establece el RGPD, y que afecta directamente a la información almacenada por las organizaciones en sus bases de datos, es la de realizar una evaluación de impacto para las empresas que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

3. Obtención del consentimiento para el tratamiento de datos

Por otra parte, uno de los principales cambios a los que tienen que hacer frente las empresas se basa en obtener consentimiento por parte de los usuarios para hacer uso de sus datos, algo que a partir de mayo va a cambiar de forma sustancial. En la actualidad se permite recibir un “consentimiento tácito”, mientras que la nueva legislación obliga a que el consentimiento sea explícito por parte del usuario. Sectores como el ecommerce, por ejemplo, tendrán que realizar cambios en su modelo de formulario, ya que será necesario crear una casilla de verificación en la que el usuario pueda marcar su consentimiento.

4. Ampliación del deber de información

Por último, la legislación actual establece que a la hora de recoger el consentimiento de los interesados se les debía informar de la persona responsable del fichero, de la existencia de los ficheros inscritos en el Registro General de Protección de Datos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los Derechos ARCO. Desde mayo de 2008, además de estos datos, el Reglamento exige la obligación de informar sobre la base legal para el tratamiento de los datos, acerca del periodo de conservación, así como la posibilidad de hacer reclamaciones, etc.