La nueva era de protección de datos en Europa ya ha comenzado. El nuevo reglamento general de protección de datos entró en vigor en mayo de este año ya lo largo de estos meses muchas han sido las quejas recibidas por la ANPD en relación con fallas en el cumplimiento legal. El Hospital de Barreiro fue el primer organismo a ser multado debido a incumplimientos legales. Pero ¿cuál es el verdadero impacto que el RGPD va a tener en la seguridad de las empresas?
Cambios en la recogida y tratamiento de datos personales por parte de las empresas
La regulación crea barreras adicionales a las prácticas actuales de recolección y procesamiento de datos en Portugal y en la Unión Europea, la introducción de normas más estrictas para las empresas con respecto a dar su consentimiento a la recogida y tratamiento de datos personales. Las empresas tienen que considerar la creación de un contrato con el titular de los datos, el cumplimiento de obligaciones jurídicas y la defensa de intereses vitales del titular de los datos. Con el nuevo reglamento, un contacto de una tarjeta de visita, por ejemplo, no podrá ser incluido en ninguna base de datos sin el consentimiento explícito de su titular. En términos prácticos, el uso de cajas previamente seleccionadas, la ausencia de respuestas, la inactividad y el consentimiento a través de términos y condiciones dejarán de ser permitidos, pues ninguno de los medios presentados es considerado un medio de demostración del cumplimiento de los requisitos de consentimiento del nuevo Reglamento.
La protección de los datos más sensibles es obligatoria
La empresa debe asegurarse de que los datos altamente sensibles están encriptados o enmascarados para que no exista el riesgo de ser perdidos y la empresa sea víctima de las graves multas que figuran en el nuevo Reglamento. Datapeeers ofrece una variedad de técnicas sofisticadas scrambling para proteger datos sensibles, reemplazándolos de forma irreversible por datos ficticios pero realistas.
¿Cuándo es obligatorio el Data Protection Officer?
Esta figura (también conocida como DPO) desempeña un papel esencial en el período transitorio de la ley antigua a la nueva legislación. El nombramiento de un DPO es obligatoria en los siguientes casos: (1) cada vez que el procesamiento de datos tiene lugar en una entidad pública; (2) siempre que haya un seguimiento constante de las personas a gran escala; (3) siempre que haya un tratamiento de datos sensibles a gran escala.
¿Quién puede desempeñar el papel de Data Protection Officer?
De acuerdo con el RGPD, el Data Protection Officer (DPO) puede ser cualquier persona que trabaje en la organización, y que reúna algunas condiciones. El DPO necesita tener conocimientos especializados en el ámbito del derecho y las prácticas de protección de datos. No es obligatorio que sea un abogado, pero este profesional tiene que tener conocimientos jurídicos en profundidad en el área de protección de datos y experiencia en este sector. El DPO tendrá que tener la capacidad para asesorar a la Administración de la empresa ya sus colaboradores acerca de las obligaciones del Reglamento, así como de las demás disposiciones de protección de datos vigentes en la UE y en otros Estados miembros. Es importante que este profesional tenga aptitud para enseñar, comunicar sus ideas y hacerse entender a todos los colaboradores de la empresa. El DPO necesita conocer al detalle todo sobre la empresa, en particular los procedimientos de cada departamento. Al DPO se requiere el control de la conformidad de los procesos de la empresa con el nuevo RGPD, a través de auditorías. El reglamento permite que el DPO desempeñe otras funciones además de la responsabilidad con la protección de los datos, pero se aconseja que este profesional dedique la mayor parte (o incluso la totalidad) de su tiempo a las cuestiones de protección de datos y cumplimiento de la legislación.
2 comentarios en «El impacto que el RGPD va a tener en la seguridad de las empresas»