Aunque se ha hablado hasta la saciedad en los últimos meses, conviene recordarlo. GDPR son las siglas en inglés de General Data Protection Regulation, un reglamento europeo que entró en vigor en abril de 2016 y que eleva las exigencias a empresas y organismos en cuanto a la protección de los datos personales que gestionan.
¿Qué pasa el próximo 25 de mayo?
Ese día acaba el periodo de transición, por lo que ya serán de obligado cumplimiento las exigencias del reglamento europeo para las compañías y organismos públicos españoles que atesoren datos personales. Eso significa que, de no cumplirlas, pueden tener que hacer frente a multas muy elevadas.
Si soy una pyme, ¿tengo que preocuparme?
Sin excepción, cualquier compañía que maneje datos personales de clientes o proveedores, desde nombres y direcciones postales, hasta datos laborales, de salud o de raza. Y ahora también se incluyen en esta categoría los datos biométricos y genéticos. Es decir, todas las empresas y los organismos, pequeños y grandes, tendrán que adaptarse, sin importar si están o no situadas dentro de la UE.
¿Cuáles son las grandes novedades del GDPR?
Consentimiento reforzado del usuario
El objetivo es permitir el uso de sus datos personales. Ya no será suficiente para las empresas un sí tácito o genérico, sino que se requerirá una aprobación expresa del usuario, y que siempre estará limitada a una finalidad o servicio específico.
Además, al margen de que sea tan fácil dar el consentimiento como retirarlo, a la hora de gestionarlo, las empresas no pueden usar términos y condiciones indescifrables y llenos de jerga legal.
Derecho de acceso a los datos
El interesado tiene derecho a que la empresa le informe si se están tratando o no sus datos personales. Si la respuesta es afirmativa, podrá requerir la siguiente información: los fines del tratamiento, las categorías de datos involucrados, el plazo o criterios de conservación, el derecho de rectificación o supresión y de la limitación u oposición al tratamiento, y la posibilidad de presentar una reclamación a la autoridad de control.
Comunicación inmediata de brechas
Las empresas estarán obligadas a notificar en 72 horas las brechas de seguridad que sufran y que supongan el robo de información personal de sus clientes. Tendrán que comunicarlas a las autoridades, a los clientes e incluso podrán ser obligadas a difundir en los medios de comunicación que han sufrido una filtración.
Portabilidad de los datos
A partir de ahora, cada individuo podrá obtener y reutilizar sus datos personales cuando cancele un servicio en Internet, posibilitando su transferencia a otra compañía. Esto afecta también a las redes sociales.
Derecho al olvido
También se reconoce el derecho de los usuarios a que sea eliminada información personal de buscadores y páginas web. No obstante, este derecho estará limitado cuando el interés público de esa información se imponga.
Privacidad por diseño
El artículo 25 del Reglamento europeo proclama el llamado “privacy by design”. Es decir, los desarrolladores de software y servicios se las tendrán que ingeniar para proteger la privacidad de los usuarios por encima de todo, haciendo que sus sistemas sólo procesen y almacenen la mínima cantidad de datos personales necesarios.
¿Qué es eso del DPO?
El GDPR obliga a todos los organismos públicos y a ciertas empresas que manejan un volumen significativo de datos personales a nombrar un delegado o DPO (Data Protection Officer), que actuará como intermediario entre las autoridades, los clientes y la propia empresa que lo contrata.
¿A qué multas se exponen las compañías?
Las sanciones se endurecen bastante con respecto a la LOPD vigente hasta ahora. Las multas podrán llegar a los 20 millones de euros o al 4% de la facturación global de la compañía. Hasta la fecha, la multa máxima en materia de protección de datos en España era de 600.000 euros.
¿Sustituye el reglamento europeo a la LOPD?
En realidad no. En el Congreso se tramita la nueva LOPD que recoge las nuevas exigencias europeas. En cuanto esté adaptada la LOPD, que ha sido la ley española vigente hasta la fecha en materia de protección de datos, ése será el texto de referencia para las empresas que operan en este país.