Llega la presentación de un nuevo reglamento sobre protección de datos

Prepárese ya para la presentación del Reglamento General de Protección de Datos de la UE. A continuación le enumeramos los diez puntos clave que le ayudarán a ponerse manos a la obra.
EU’s General Data Protection Regulation will affect many companies in Europe. Are you ready for the changes?
La nueva regulación europea de Protección de Datos afectará a muchas compañías en Europa. ¿Está usted listo para los cambios?

En mayo de 2016, la UE publicó un Reglamento General de Protección de Datos. Lo que ya sabemos es que, cuando el nuevo reglamento entre en vigor en mayo de 2018 tras un período de transición de dos años, el texto traerá consigo una serie de requisitos operativos para las empresas que manejan datos personales.

Dado que la definición de lo que se consideran «datos personales» es muy amplia, prácticamente todas las empresas quedarán incluidas en este ámbito jurisdiccional. Y puesto que apenas quedan algo más de 300 días hábiles hasta la fecha de entrada en vigor de los reglamentos de protección de datos, hemos recopilado diez puntos que le ayudarán a cumplir desde hoy mismo con todos los requisitos.


1. Demuestre que cumple con todos los reglamentos
El nuevo reglamento obliga al encargado de custodiar el registro de datos personales que sea capaz de demostrar que maneja dicha información siguiendo el procedimiento adecuado.

En la práctica, esto significa que las empresas deben conservar un registro de las operaciones en las que se procesan datos que están bajo su responsabilidad para poder probar que dichas operaciones son conformes con los reglamentos.

2. Asegúrese de que dispone del consentimiento necesario
Si el manejo de datos personales depende del consentimiento de una persona, entonces debe demostrar que la persona en cuestión ha facilitado dicho consentimiento.

Además, en el futuro los requisitos asociados al consentimiento serán más estrictos:

- El consentimiento se hará constar de manera clara a través de una declaración verbal, por escrito o por correo electrónico.
- El consentimiento deberá reflejar que la persona en cuestión ha expresado un deseo explícito, personal, voluntario y consciente mediante el cual autoriza el uso de sus datos personales.
- Normalmente, la forma de hacerlo será marcando una casilla de selección.

3. Ejerza el derecho al olvido
Una de las nuevas cuestiones que se abordarán en el nuevo reglamento hace referencia al derecho al olvido de las personas registradas. En la práctica, supone el derecho a poder eliminar los datos de dichas personas de las bases de datos de las empresas.

Este tipo de situaciones se dan cuando una persona retira el consentimiento que había proporcionado a la empresa para poder usar sus datos personales. Sin embargo, cuando el uso de los datos personales descansa sobre una base jurídica de otro tipo, no es obligatorio eliminarlos.

Cuando exista la obligación de eliminar estos datos, es preciso informar de tal circunstancia a todas las entidades que los hayan recibido o publicado. De esa forma se garantiza que también se eliminan todos los enlaces, duplicados y copias relacionados con el material afectado.

4. Ejerza el derecho a traspasar los datos
Actualmente, cualquier persona tiene derecho a recibir sus datos en un formato legible mediante máquina y a transferirlos a otro depositario de registros.

Este derecho también se aplica a los datos personales que haya recibido de cualquier particular mediante un acuerdo o consentimiento. No obstante, este deber no le obliga a mantener ni a autorizar sistemas de procesamiento de datos que sean compatibles técnicamente.

5. La prohibición para elaborar perfiles puede afectarle
Todas las personas tienen derecho a no ser objeto de una decisión originada por el tratamiento automático de los datos cuando tal circunstancia pueda afectarles judicialmente o de cualquier otra manera. En otras palabras, las empresas no pueden adoptar decisiones importantes que afecten a una persona basándose en un tratamiento automático de los datos.

Una excepción de esta «prohibición para elaborar perfiles» se daría en el caso de que la decisión sea necesaria para firmar un contrato entre una persona y su empresa. Asegúrese de que sus modelos para la toma de decisiones y para la elaboración de perfiles se ajustan a derecho y de que se han llevado a cabo todos los cambios necesarios. 

Un ejemplo típico que constituye una excepción a esta prohibición para elaborar perfiles es cuando se adoptan decisiones de crédito. Por lo general, estas decisiones se basan en sistemas automatizados para clasificar y recomendar decisiones.

6. Notifique las violaciones de seguridad de los datos
En el futuro, estará obligado a informar a las autoridades y a las personas registradas de cualquier incumplimiento en la seguridad de los datos. Sin ir más lejos, esto incluye aquellas situaciones en las que se infringen las libertades y los derechos de las personas. En esos casos, deberá hacer dos cosas:

- Notificar el incumplimiento a las autoridades competentes en un plazo de 72 horas.
- Informar del incumplimiento a todas las personas afectadas cuando la vulneración de la seguridad pueda suponer un riesgo importante para sus derechos y libertades.

Para cumplir con estas obligaciones, es fundamental elaborar una serie de instrucciones internas que garanticen un proceso correcto y eficiente.

7. Informe sobre cómo procesa los datos
Hoy en día, las empresas internacionales recaban más datos personales que nunca. Para poder cumplir con el reglamento de la UE en el futuro, se le pedirá que facilite muchos más detalles sobre cómo procesa los datos en comparación con la información que se le pedía hasta ahora.

Esto implica que deberá declarar durante cuánto tiempo va a almacenar los datos personales. Y en el supuesto de que eso no sea posible, deberá informar sobre los criterios en los que se basa para decidir cuánto dura ese período.

En la práctica, eso significa, por ejemplo, tener que actualizar el registro y los documentos de seguridad de los datos, así como pensar de qué forma deberá informar a las personas registradas de las operaciones que realmente van a llevarse a cabo.

8. El papel del nuevo responsable de la protección de datos
Dada la creciente preocupación en torno a la protección de los datos, es posible que necesite designar a un responsable que se ocupe de este asunto. Por ejemplo, las empresas que precisan de esta figura son firmas en las que existe una supervisión sistemática, periódica y exhaustiva del personal o cuyas principales actividades están sujetas a esta clase de supervisión.  Teniendo todo esto en cuenta, le recomendamos que valore si la designación de un responsable para la protección de los datos es conveniente o no en su caso.

9. La externalización del manejo de datos personales supondrá la adopción de medidas de seguridad adicionales
Si ha externalizado una parte del proceso de datos a una entidad externa que va a manejarlos en su nombre, deberá hacer un par de cosas:

- Asegúrese de que las medidas de protección técnicas y organizativas cumplan con los requisitos que establece el reglamento.
- Vele por la protección de los derechos de las personas registradas.

En la práctica, deberá identificar en qué situaciones la externalización resulta apropiada y asegurarse de que todos los contratos estén convenientemente redactados. Por ejemplo, el almacenamiento de los datos en servicios ubicados en la nube se considera externalización, aun cuando el proveedor del servicio no procese los datos de manera activa.

10. Las infracciones pueden acarrear una multa ejemplar
Tenga presente que, además de un aviso, puede ser objeto de una multa ejemplar por haber incumplido el reglamento sobre protección de datos. La multa puede llegar a alcanzar hasta un máximo de 20 millones de euros o el 4 por ciento de la facturación total de su empresa.