GRPD: Cómo asegurarme que cumplo con la normativa

La GRPD (General Data Protection Regulation) entró en vigor el 25 de mayo de 2018 en la Unión Europea y afecta a todas las compañías que utilizan datos de ciudadanos europeos, incluso si tienen su sede en un país que no pertenece a la UE, como China o Estados Unidos, por ejemplo. Hasta entonces, en Europa había 28 legislaciones distintas, y gracias al Reglamento General de Protección de Datos se unificaron los derechos y obligaciones de ciudadanos y empresas.

¿Qué significa exactamente datos personales? Hace referencia a toda la información que pueda servir para la identificación de una persona. Incluye: nombre y apellidos, e-mail, información física, publicaciones en redes sociales, datos médicos y bancarias, cookies y ubicación.

Entre las diferentes novedades del GRPD, hay tres que destacan de forma significativa sobre el resto.

• Derecho a la portabilidad: los datos tratados de manera automatizada deben poder ser recuperados para cederlos a un tercero.
• Derecho de acceso: las empresas tienen la obligación de informar a los usuarios de si sus datos están siendo procesados, así como dónde están almacenados.
• Derecho al olvido: cuando los datos ya no sean necesarios para el fin con el que fueron almacenados, los ciudadanos tienen derecho a solicitar su eliminación.

¿Cómo cumplir con el Reglamento General de Protección de Datos?

El GRPD exige que todas las empresas tengan un registro actualizado que incluya qué datos se recogen, con qué finalidad, a quién se comunican, cuándo se pueden suprimir y bajo qué condiciones y qué medidas a nivel técnico y organizativo se aplican para garantizar su seguridad.

Hasta que el RGPD entró en vigor en 2018, las compañías entendían que, de forma tácita, tenían el consentimiento de los ciudadanos para proceder con el tratamiento de sus datos. La nueva normativa obliga a que los ciudadanos tengan que dar su consentimiento de manera explícita. Además, deben conocer las condiciones del tratamiento de sus datos.

Uno de los primeros pasos que debe dar cualquier organización es analizar su política de privacidad. El texto debe ser transparente y los ciudadanos tienen que aceptarlo. Por lo tanto, es esencial introducirlo en la web e incluir una casilla de aceptación de privacidad en todos los formularios.

El número de ciberataques ha aumentado exponencialmente en los últimos años. Así,en caso de que se produzca una filtración de los datos de los usuarios un tercero, es obligatorio informarles en un plazo máximo de 72 horas.

Otro de los pilares para cumplir con el Reglamento General de Protección de Datos es designar a un responsable de datos y a un delegado de protección de datos en la compañía. Hay que llevar un registro de actividades de tratamiento si los tratamientos no son ocasionales o son de alto riesgo.

Y, por último, es requisito indispensable aplicar las medidas de seguridad que sean necesarias en función del análisis de riesgos para la privacidad. Para ello hay que tener en cuenta dónde están almacenados los datos, clasificarlos según su nivel de riesgo, monitorizar su uso y conocer en todo momento quién accede a ellos.

En Anexia Consultoría llevamos 15 años ayudando a las PYMEs y a las grandes empresas a afrontar los retos tecnológicos. Prestamos un servicio 360 grados de la mejor calidad y nos implicamos al 100% en tu proyecto. Te ofrecemos las soluciones más innovadoras, tanto de hardware como de software y TIC. Si estás interesado en nuestros servicios, te invitamos a ponerte en contacto con nosotros.