En los últimos meses las siglas GDPR han protagonizado noticias de prensa, artículos en medios IT especializados, o posts en blogs de empresas tecnológicas.
Se trata de un Reglamento General de Protección de Datos (en inglés, General Data Protection Regulation) que supondrá una “revolución” en lo relativo a la protección de los datos personales y que afectará de manera directa a las empresas.
A partir del 25 de mayo de 2018 su cumplimiento será obligatorio y su quebrantamiento podrá suponer multas de hasta el 4% de la facturación global de una compañía.
Con el Internet de las Cosas, la Nube o el Big Data, la sofisticación con la que las empresas recogían todo tipo de datos ha ido aumentando, convirtiéndose éstos en un tesoro muy valioso para las empresas…
Y entonces ¿qué pasará ahora?
3 CLAVES del nuevo Reglamento General de Protección de Datos
1.- Aplica a todas las compañías con independencia del sector al que pertenezcan o el tamaño de la misma.
De esta manera, afectará a:
- Empresas con presencia física en la Unión Europea.
- Organizaciones que procesan o almacenan datos sobre individuos que se encuentran en la UE.
- Organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea.
- Empresas que están ubicadas fuera de la UE pero proporcionan servicios o bienes a la UE.
- Instituciones que traten cualquier tipo de información personal.
2.- Consentimiento pasa a ser explícito
Ahora es necesario obtener un consentimiento explícito tanto para la recopilación de datos como de su uso.
De esta manera, el consentimiento ya no es tácito como actualmente y todos han de confirmar su consentimiento con una declaración libre, específica, informada e inequívoca o con una clara acción afirmativa.
Así no constituirá un consentimiento el silencio, la inactividad, o las casillas pre-completadas.
Finalmente, la facilidad con la que se da este consentimiento será igual de fácil que retirarlo.
3.- Principio de responsabilidad proactiva
Esta es una de las novedades de este nuevo reglamento, y se refiere a los requisitos mínimos de seguridad que ha de haber en el tratamiento de los datos. Es por eso que es una obligación que recae directamente en las empresas y, bajo su responsabilidad, está el garantizar que el tratamiento de los datos cumple con el RGPD.
Por ello, es necesario que analicen qué datos tratan, cuál es su finalidad, y qué operaciones de tratamiento realizan. Relacionado con ello surge la figura de un Data Protection Officer, cuya creación será obligatoria para las grandes empresas.
Con todo ello estamos ante un nuevo paradigma en el que los procesos donde intervienen los empleados tienen que cambiar y ser automatizados para cumplir con la legislación GDPR (y potencialmente la tecnología tendrá que cambiar en consecuencia). Las empresas han de ser conscientes de ello, y de lo que supondrá su entrada en vigor. Y para ello podrá valerse de un gestor de procesos (BPM) como AuraPortal para automatizar y establecer un control sobre los datos tratados en la empresa. Desde AuraPortal ofrecemos un procedimiento de control entre su equipo y las aplicaciones, así como entre miembros del mismo departamento y/o otros departamentos para el cumplimiento de la GDPR.
