Las multas de la nueva ley de datos serán de hasta 20 millones
Empresas y administraciones públicas tienen seis meses para adaptarse a la nueva ley de protección de datos si no se quieren arriesgar a multas millonarias
Las empresas deben adaptarse a la nueva normativa de protección de datos antes del 25 de mayo del próximo año. Tan sólo faltan seis meses. A partir de esta fecha será de obligado cumplimiento. Infringirla puede acarrear multas de hasta el 4% del volumen de facturación anual con un tope de 20 millones de euros.
El nuevo Reglamento General de Protección de Datos (RGPD o GDRP en sus siglas en inglés) introduce muchos cambios respecto a la actual normativa. Se trata de la transposición de una directiva europea. Afecta a las empresas y los autónomos que manejen datos personales de clientes para sus estrategias comerciales, así como a las asociaciones y administraciones públicas de todos los estados de la Unión Europea.
Una de las grandes novedades es la figura del DPO (Data Protection Officer). En las grandes empresas y en las administraciones públicas será el responsable de tener a buen recaudo los datos de clientes o ciudadanos.
Protección de datos: las empresas se arriesgan a multas millonarias si no evalúan sus sistemas
Agustí Serrano, gerente de la consultora de ciberseguridad Win4sec, recuerda que las empresas y administraciones estarán obligadas a realizar “evaluaciones de impacto”, consistentes en analizar los riesgos e implantar mecanismos para proteger los datos que custodien. Deberán tener una actitud proactiva para evitar las amenazas de los hackers.
En la aplicación de la nueva normativa se introducen los conceptos de “privacidad por diseño” y “privacidad por defecto”. La primera busca que las empresas eviten invasiones en la privacidad durante el desarrollo de sus productos, procesos o servicios. La segunda persigue que la información se proteja en todo momento.
Las empresas pueden recurrir a consultoras especializadas para que les asesoren. Serrano señala que, si es necesario, incluso les pueden facilitar un DPO a tiempo parcial. Será el guardián de sus sistemas para evitar el software malicioso, los ciberataques o las filtraciones accidentales.
Los derechos de los clientes
Los clientes tienen derecho en la actualidad al acceso, rectificación o cancelación de sus datos. Con la nueva normativa, se incorporan más derechos que conciernen a los límites y a la portabilidad de los datos.
Cuando se recaben datos personales a clientes se les deberá facilitar una información más extensa de lo que exigía la anterior normativa. Entre esta información debe constar el plazo de conservación de los datos personales. Previamente, los clientes deben expresar de forma libre y explícita su consentimiento para que obtengan sus datos personales.
La nueva normativa también facilita que los ciudadanos formulen sus quejas. Se establece una ventanilla única, ante la cual se pude reclamar ante las autoridades de protección de datos del lugar de residencia. Además, las empresas están obligadas a notificar a la autoridad las brechas de seguridad en un plazo máximo de 72 horas.
Un estudio de Sophos señala que el 54% de las empresas europeas tiene un escaso conocimiento del GDPR y del sistema de sanciones previsto. El incumplimiento puede suponer su cierre por los elevados importes.