Implementación GDPR

Publicaciones

Los retos de la implementación del GDPR para las empresas

La entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) ha supuesto un cambio de paradigma en el tratamiento de datos personales por parte de las empresas. Las personas son ahora mucho más conscientes de sus derechos, y han conocido de empresas que almacenaban sus datos a partir de la avalancha de correos que circularon a finales de mayo solicitando el conocido consentimiento.

Uno de los cambios más comentados es la necesidad de informar a las autoridades de control de los incidentes de impacto elevado que afecten a la seguridad de los datos en un plazo de 72 horas, lo que supone un cambio en la forma de operar de las compañías. Antes de la entrada en vigor del RGPD, solo los operadores de servicios de comunicaciones electrónicas y prestadores de servicios de confianza estaban obligados.

Esta medida la hemos visto en marcha en los últimos meses, cuando grandes compañías europeas y españolas han tenido que comunicar haber sido víctimas de ciberataques que han puesto en riesgo millones de datos personales de sus clientes. Además del daño reputacional asociado, las empresas se podrían enfrentar ahora a la posibilidad de multas millonarias, de hasta 20 millones de euros o el 4% de la facturación. Aunque aún no existen antecedentes, los recientes casos que se han comunicado, dentro y fuera de nuestras fronteras, pondrán a prueba lo lejos que están dispuestas a llegar las Autoridades Nacionales de Control. Y no sólo con las compañías europeas, el Information Commissioner’s Office de Reino Unido ha abierto el primer proceso contra una empresa canadiense por incumplimiento del RGPD en el tratamiento de datos de ciudadanos europeos.

La Agencia Española de Protección de Datos ha centrado su actividad los últimos meses en concienciar a las empresas españolas en la importancia de la normativa. Además de lo señalado, la nueva ley introduce el principio de responsabilidad activa, que implica que las compañías deben demostrar de forma permanente que están tratando los datos personales de sus clientes con la diligencia debida. Entre las medidas para garantizarlo se encuentran la introducción, y el ejercicio continuado de sus funciones, de la figura del DPO (Delegado de Protección de Datos) que es necesaria en determinadas compañías, la necesidad de ejercer un mayor control sobre las terceras partes que tratan datos como un encargado de tratamiento o, en algunos casos, la implantación de herramientas tecnológicas que ayuden en la gestión. Esta preparación ante los potenciales riesgos a los que se enfrentan las compañías no sólo ayudará a minimizar su impacto, sino que también contribuirá a rebajar el impacto económico de las posibles sanciones. Y, consecuentemente, ayudará a proteger la privacidad de los datos de todos.

 

Artículo elaborado por Manel Carpio, socio de Risk Advisory de Deloitte y publicado en Diari de Tarragona el 21 de octubre de 2018.

Did you find this useful?