El Reglamento General de Protección de Datos (RGPD) ha supuesto un antes y un después a nivel europeo e internacional. La nueva normativa no solo afecta a los departamentos encargados del tratamiento de la información personal, sino también a aquellos que trabajan con los sistemas de gestión y la seguridad empresarial.
Por ello, hoy queremos recordar diez conceptos claves del RGPD:
Cualquier información por la que una persona puede ser identificada, directa o indirectamente, tales como: nombre, DNI, dirección postal, número de teléfono, e incluso, aquellos referidos a la identidad física como son los datos genéticos, fisiológicos, psíquicos, económicos, culturales o sociales.
Obtener un consentimiento claro e inequívoco del interesado es esencial. "El silencio, las casillas ya marcadas o la inacción" no están permitidos. Además, el tratamiento de los datos personales no puede realizarse a menos que el interesado lo autorice.
Aquella autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51 del RGPD. Esta autoridad será la encargada de velar por el cumplimiento del Reglamento dentro de la compañía. Cada Estado miembro puede nombrar una o varias autoridades de control.
Toda persona física o jurídica, autoridad pública u organismo que, de manera independiente o junto con otros, determina los fines y medios del tratamiento de datos personales.
Toda persona física o jurídica, autoridad pública u organismo que trata los datos personales en nombre del responsable del tratamiento de datos. Un responsable puede tener varios encargados.
Designado por el responsable del tratamiento, y en caso de ser necesario, por el encargado, el Delegado de Protección de Datos (DPD) es una de las incorporaciones clave del nuevo Reglamento. Sus funciones principales son garantizar que el responsable y el encargado del tratamiento cumplan con la legislación, ofrecer asesoramiento y ser el contacto inmediato para la autoridad de control.
Otra de las novedades principales, recogida en el artículo 20 del RGPD, es la portabilidad de datos. A través de este derecho, el ciudadano podrá solicitar a la empresa la entrega de una copia de sus datos personales, o si lo prefiere, que sean traspasados por la misma a otra empresa en un "formato estructurado, de uso común y lectura mecánica".
Es el derecho que permite a los sujetos titulares de datos personales eliminar, en determinadas circunstancias, cualquier información que ya no sea exacta o necesaria para la finalidad para la que fue recogida.
Si se produce una brecha de seguridad dentro de la organización, el responsable del tratamiento de datos tendrá que notificarlo a la autoridad competente en un plazo ideal de 24 horas o, como tarde, en 72 horas.
El RGPD establece multas comunes en toda la Unión Europea para aquellas empresas que ignoren o no cumplan el Reglamento. El alcance de las sanciones se amplía contra responsables y encargados y la cuantía puede ascender hasta 20 millones de euros o un 4% de los ingresos globales anuales de la compañía, lo que sea mayor.
¿Preparado para poner en práctica el Reglamento europeo dentro de tu empresa? Si aún tienes dudas sobre cómo empezar, no dudes en echar un vistazo a los libros verdes gratuitos de IT Governance.