El pasado mes de abril, el Parlamento Europeo aprobó el nuevo Reglamento General de Protección de Datos, GDPR por sus siglas en inglés. La normativa existente será actualizada para que la tecnología moderna sea más relevante y al mismo tiempo la nueva legislación tenga un impacto generalizado en las organizaciones que tienen presencia en la Unión Europea.
El nuevo reglamento no empezará a ejecutarse hasta la primera mitad de 2018 – un período relativamente corto para que las empresas comprendan los nuevos requisitos, evalúen las medidas y prácticas de seguridad existentes y se conviertan totalmente compatibles con la nueva legislación. Las organizaciones deben considerar los siguientes pasos a seguir para asegurarse que no se quedan atrás.
Diseño de la política de privacidad
La preocupación por la privacidad tiene que formar parte de la estructura y de la filosofía de la organización. Las políticas de privacidad deben ser transparentes, estar escritas en lenguaje claro y sin ambigüedades, y ser fácilmente accesibles a todos los empleados de la empresa.
Es importante asegurarse de que se implanta de forma temprana la política de privacidad en cualquier nuevo proceso o producto que se implemente. La organización debe estar preparada para que las personas interesadas ejerzan sus derechos bajo la GDPR, como el derecho a la portabilidad de datos o el derecho al olvido digital.
Al almacenar datos personales, la empresa debe asegurarse que tiene razones legítimas para hacerlo, esto será relevante para demostrar que los motivos legítimos de la organización tienen prioridad sobre los intereses de los titulares de los datos.
Si almacena datos personales, asegúrese de que tiene razones legítimas para retenerlo – que será su carga de la prueba para demostrar que sus motivos legítimos tienen prioridad sobre los intereses de los titulares de los datos.
La mayoría de las personas suelen tener expectativas poco realistas sobre sus derechos, por lo que se debe estar preparado para responder ante posibles litigios. Si se implementa la privacidad desde el diseño y desarrollo de un nuevo producto o servicio, será sencillo demostrar el cumplimiento de la normativa y además se creará una ventaja competitiva para la organización.
Análisis de la base jurídica que utiliza los datos personales
Se debe tener claro cuál es el objetivo o la razón por la que la organización almacena datos personales, sabiendo esto, ¿son realmente confiables esas razones? ¿Es legítimo el interés que tiene la empresa en esos datos?, ¿por qué no son aceptados por el titular, vulneran sus intereses?
Las organizaciones a menudo asumen que tienen que obtener el consentimiento de los afectados para procesar sus datos. Sin embargo, el consentimiento es sólo una de las diferentes formas de legitimación y puede no ser la mejor, por ejemplo puede ser retirado el consentimiento. Si confía en que obtener el consentimiento del titular es la mejor vía, se debe revisar que los documentos y formularios de aceptación son adecuados y comprobar que el consentimiento se da libremente, es específico y se ha dado conociendo toda la información.
Lo mencionado anteriormente es relevante, pues es la única prueba que tendrá la empresa si se pone en duda la legitimidad de los datos. La puesta en marcha de políticas y procedimientos adecuados permitirá reaccionar con agilidad y rapidez a la empresa ante cualquier notificación de violación de privacidad de datos.
Establecer un marco de responsabilidad
Es importante asegurarse de tener las políticas claras en lugar de demostrar que cumple con los estándares requeridos. Establecer una cultura de seguimiento, revisión y evaluación de los procedimientos, con el objetivo de minimizar la retención de datos no legítimos. Comprobar que el personal está capacitado para entender sus obligaciones. Llevar a cabo evaluaciones de impacto sobre los datos para revisar las actividades de riesgo y las medidas adoptadas para abordar las preocupaciones específicas.
Cuidado con las transferencias transfronterizas de datos
Con todas las transferencias internacionales de datos, incluidas las transferencias intra-grupo, es importante asegurarse de que tiene una base legítima para la transferencia de datos personales a las jurisdicciones que la Unión Europea no reconoce por tener regulaciones inadecuadas de protección de datos.
Esto no es una preocupación nueva, pero las consecuencias del incumplimiento podrían ser graves. El incumplimiento podría incurrir en una multa de hasta el 4% de la facturación anual. Sería adecuado considerar la adopción de normas corporativas vinculantes para facilitar las transferencias internas de datos.
Entender las obligaciones como procesador de datos
Para los proveedores a otras organizaciones, la GDPR impone algunas obligaciones directas que tendrá que entender y construir en sus políticas, procedimientos y contratos. Es probable que se encuentren clientes que querrán asegurarse de que sus servicios son compatibles con las mayores exigencias del Reglamento.
Verificar que la documentación contractual es adecuada y, para los contratos existentes, comprobar quién asume el costo de hacer cambios en los servicios como resultado de los cambios en las leyes o reglamentos. Si se obtienen servicios de procesamiento de datos de un tercero, es muy importante determinar y documentar las respectivas responsabilidades.
Terminando
Parece que el 2018 aún está muy lejos, pero en realidad está a la vuelta de la esquina. El GDPR está pensado para que las organizaciones mantenga la información más segura, puedan responder rápidamente cuando se produce una violación de datos y además puedan responder a las exigencias de los procesos legales que puedan surgir como consecuencia de una violación en la protección de datos.
El reloj ya está en marcha para que las organizaciones cumplan con los nuevos requisitos. Si no lo han hecho ya, deben considerar la adopción de medidas de inmediato para que su organización no se encuentre fuera de la ley cuando se ponga en marcha la nueva normativa.
_____________________________
Vea también:
- Empezar a prepararse para el nuevo Reglamento General de Protección de Datos de la UE
- Para más información sobre los productos Nuix, haga clic AQUI.