search
El medio de comunicación que reinventa la empresa
Registrar un software

RGPD: ¿A quién afecta esta nueva normativa europea?

RGPD: ¿A quién afecta esta nueva normativa europea?

Por Alexis Quentrec

El 12 de noviembre de 2024

El Reglamento General de Protección de Datos (RGPD) entrará en vigor el 25 de mayo de 2018.
Este reglamento europeo establece y refuerza nuevas obligaciones en relación con el uso (es decir, el tratamiento) de los datos personales de los ciudadanos europeos.

¿Qué son los datos personales?

Los datos personales son datos vinculados a una persona física y que la caracterizan. Normalmente, se trata de los apellidos, el nombre, la dirección, la dirección de correo electrónico, pero también la fecha de nacimiento, la dirección IP, etc. En resumen, cualquier información que pueda utilizarse para identificar a una persona física directa o indirectamente.

El objetivo del RGPD es controlar el tratamiento de estos datos. Por tratamiento se entiende el uso de los datos a través de un servicio informático para alcanzar un objetivo concreto.

Por ejemplo, los datos pueden tratarse para enviar un boletín de noticias a todos aquellos que hayan dado su consentimiento: la dirección de correo electrónico (posiblemente incluyendo nombre y apellidos) se trata para enviar el boletín.
El tratamiento también puede consistir en recopilar estadísticas para conocer mejor a los clientes utilizando herramientas de big data, con el objetivo de elaborar perfiles de la base de clientes.
Por último, no hay que olvidar un caso que afecta a todas las empresas sin excepción: la gestión de las nóminas también implica el tratamiento de datos personales.

¿Qué obligaciones deben cumplirse?

Como su nombre indica, el reglamento se refiere a la protección que debe darse a los datos personales. Las 88 páginas del reglamento establecen un marco que debe respetarse y sobre el que hay que construir. A continuación enumeramos algunos de los puntos clave.

Lejos de enumerar los puntos técnicos que deben cumplirse, el reglamento exige que las empresas sepan exactamente qué datos poseen, cómo se procesan y por quién y con qué fines.
Ello implica la obligación de llevar un registro de tratamiento de datos que sirva de guía de referencia para identificar de forma clara y rápida a las partes implicadas y los datos afectados en caso de incidente de seguridad.

El Reglamento también establece un marco para el comportamiento que las empresas deben promover en relación con los datos de los usuarios finales, a saber, una mayor transparencia y responsabilidad.
Destaca la obligación de informar previamente a los usuarios de cuánto tiempo se utilizarán sus datos y, sobre todo, con qué fines, de forma precisa y explícita.

También es esencial el nombramiento de un responsable de la protección de datos. Es el principal artífice del cumplimiento de las obligaciones del RGPD: responsable de los análisis de impacto, punto de contacto con los usuarios finales y las autoridades, es la piedra angular del cumplimiento del RGPD.
Este garante del RGPD puede ser común a varias empresas, en particular del mismo sector de actividad: el RPD puede ser así una fuerza de propuesta para garantizar la seguridad de los datos personales dentro de departamentos diferentes, pero ofreciendo la misma protección para los datos personales tratados.

Por último, a través del RPD, las empresas tendrán que notificar a las autoridades competentes cualquier filtración de datos en un plazo máximo de 72 horas desde que tengan conocimiento de ella. También se establece la obligación de informar a los usuarios cuya información haya sido filtrada, que deberá ir acompañada de los medios puestos en marcha para solucionar el problema.

¿A quién afecta este reglamento?

Este reglamento se aplica a las empresas que tratan datos de ciudadanos o particulares europeos en territorio europeo. Estas obligaciones se aplican a cualquier empresa que opere en Europa y, por tanto, naturalmente a todas las empresas establecidas en Europa.

Por último, el RGPD también se aplica a las empresas establecidas en el extranjero que tratan datos personales por cuenta de empresas europeas.

Así pues, no hay diferencia entre editores y empresas usuarias: la misma preocupación por la protección de los datos personales se aplica a ambos tipos de empresas.

Sanciones disuasorias

El cumplimiento de este reglamento debe convertirse en un elemento clave de la estrategia empresarial: si las empresas no tienen en cuenta de forma seria y efectiva las obligaciones de este reglamento, las sanciones son severas.

Las sanciones por infracciones simples pueden ser de hasta el 2% del volumen de negocios de la empresa (en el caso de una empresa perteneciente a un grupo internacional, es el 2% del volumen de negocios del grupo) o de hasta 10 millones de euros.
En caso de falta grave, la sanción se duplica. En todos los casos, se retiene el importe más elevado.

Más allá del perjuicio financiero, las repercusiones serán mayores en términos de imagen de la empresa infractora. Porque el objetivo de esta normativa no es castigar la fuga de datos, sino prevenir los comportamientos de riesgo de las empresas poco respetuosas con los datos personales.

Editores y usuarios, ¿la misma batalla?

Si tienen que satisfacer la misma necesidad de proteger los datos personales, hay una palanca común: estas obligaciones representan una oportunidad.

El Reglamento se ha concebido para que todos los usuarios de un servicio puedan recuperar el control sobre unos datos que se comunican con cierta facilidad y se tratan sin tener apenas en cuenta su finalidad.

Esto abre la puerta a las empresas y editores que lo deseen a proyectar una imagen respetuosa y honesta promoviendo el tratamiento ético de los datos personales.
Para ello, deben anticiparse a las obligaciones del RGPD ofreciendo a los usuarios, por ejemplo:

  • Tomar el control de sus datos y de cómo se utilizan, enumerando de forma clara y precisa las distintas operaciones de tratamiento, con la opción de optar por ello.
  • Portabilidad de sus datos exportándolos en un formato estándar (csv, rtf, etc.).
  • Borrar sus datos de forma clara y sencilla en un espacio específico.
  • Disponer de un punto de contacto específico para cualquier consulta sobre el tratamiento de datos.

Para un editor, el valor añadido consistirá en posicionarse como facilitador y dar a sus clientes los medios para asumir un papel activo en los siguientes ámbitos en particular:

  • Control de los datos (localización, posibilidad de enmascarar/cifrar, etc.).
  • Comunicación en caso de incidente.
  • Transparencia en cuanto al acceso y los medios de protección aplicados.
  • La presencia de un punto de contacto específico para cualquier cuestión relacionada con la confidencialidad de los datos y su tratamiento.

Una carrera ya en el sprint final

El RGPD entra en vigor mañana. Para garantizar el cumplimiento de las obligaciones establecidas en este reglamento, es esencial ponerse manos a la obra desde ahora y anticiparse a los esfuerzos necesarios.

Conocer y controlar sus activos de datos es una tarea intensa, que debe ser llevada a cabo por equipos empresariales cuyas preocupaciones están muy alejadas de estas cuestiones.
Todos los actores implicados deben cooperar y coordinarse para garantizar el cumplimiento del RGPD: enfrentarse a los profundos retos de este reglamento es una oportunidad real para ofrecer un valor diferenciador, en un contexto relacionado con los datos que está experimentando un cambio duradero.

Artículo traducido del francés