Pasaron case os dous anos que Europa lle ofrece ás nosas empresas para a aplicación do novo Regulamento xeral de protección de datos (RGPD). O 25 de maio de 2018 este regulamento substituíu a antiga Lei de protección de datos (LOPD).
Quedan menos dun mes para que as empresas que procesen datos persoais e se adapten á nova lei de protección de datos, a RGPD.
Que empresas estarán obrigadas a cumprir o RGPD?
Este regulamento aplícase a todas as entidades que procesen datos persoais que se atopen dentro da Unión Europea.
Tamén se lle aplicará aos xestores e xestores non establecidos na UE sempre que procesen datos como resultado dunha oferta de bens ou servizos destinados aos cidadáns da Unión.
Afectaralle directamente aos procesos internos e externos da empresa xa que os novos cambios obrigarán ás empresas a adoptar diferentes formas de procesar e xestionar os datos persoais que recollen (clientes, potenciais clientes ou empregados) Sancións A falta de adaptación a esta nova regulación podería supor un gran risco económico con
sancións de ata 20.000.000 € ou entre o 2 % e o 4 % do volume de negocio segundo a súa gravidade.
Como lle afecta o GDPR ás empresas?
Consentimento: o novo regulamento de GDPR establece que o consentimento debe ser tácito e claro; é dicir, o responsable dos datos da empresa debe poder demostrar que houbo consentimento do cliente. Os consensos obtidos con anterioridade ao 25 de maio de 2018 só serán válidos se se obtivesen respectando os criterios específicos da norma, que
conteñan un consentimento expreso. Información: O RGPD inclúe unha serie de cuestións que amplían as cláusulas informativas que non estaban incluídas na LOPD.
Avaliacións de impacto sobre protección de datos: Será obrigatorio que as empresas realicen avaliacións de impacto sobre protección de datos, co fin de minimizar o impacto que poida ter o uso de datos sobre os clientes. Este punto só será obrigatorio para determinados tipos de información e para as empresas que manexan información sensible.
Responsabilidade proactiva: refírese á necesidade de prevención por parte das organizacións que tratan datos persoais. As empresas deben adoptar medidas que garantan que estean en condicións de cumprir as normas, dereitos e garantías que
establece a RGPD. A nova norma entende que actuar no pasado cando a infracción xa foi cometida non é suficiente xa que pode causar danos moi difíciles de repararlles aos interesados; polo tanto, todas as organizacións que traten datos deben realizar unha análise de riscos dos seus tratamentos co fin de establecer as medidas que aplicarán e como o farán.
Certificación e figura do responsable de protección de datos: o regulamento amplía as posibilidades para que as entidades poidan obter a certificación. En canto ao responsable de protección de datos (DPO), trátase dunha nova figura, que non é obrigatoria para todas as empresas, aínda que se recomenda cuxo papel será que as distintas organizacións
cumpran o regulamento; esta figura será a encargada de planificar as medidas de seguridade aplicables ao tratamento de datos e a súa xestión; tamén servirá de enlace entre a empresa e a autoridade supervisora.
Novos dereitos
Dereito a ser esquecido
Ten dereito a que os cidadáns teñan que solicitar e obter dos responsables que se eliminen os datos persoais cando xa non sexan necesarios para o fin para o que foron recollidos, cando se revocou o consentimento ou cando se obtiveron xeito ilegal.
Dereito á portabilidade
Implica que o interesado que lle facilitou os seus datos a un responsable que os estea tratando dixitalmente pode requirir recuperar eses datos nun formato que permita transferirllos a outro responsable.
Cambios na obtención do consentimento
O Regulamento esixe que o consentimento, en xeral, sexa gratuíto, informado, específico e inequívoco.
As empresas deberán revisar o xeito de obter e gardar o consentimento.
Na actualidade hai prácticas que se enmarcan no chamado consentimento tácito e que se aceptan coa normativa vixente pero deixarán de ser así cando sexa aplicable o
Regulamento.
Para considerar que o consentimento é “incuestionable”, o Regulamento esixe que exista unha declaración das partes interesadas ou unha acción positiva que apunte ao acordo do interesado.
A aceptación non se pode deducir do silencio ou da falta de acción dos cidadáns.
É necesario que o consentimento sexa “manifesto” en determinados casos, como autorizar o tratamento de datos sensibles.
Polo tanto, o consentimento debe ser verificable e os que recollan datos persoais deben poder demostrar que o interesado lles deu o seu consentimento.
Leva menos dun mes para adaptar o seu sitio web e a súa empresa antes da chegada deste novo decreto e adaptarse ao Regulamento xeral de protección de datos (RGPD).
Se necesitas axuda, asesoría iuni pode aconsellarte. Contamos coa axuda dun grupo especializado para que a nova modificación da lei de protección de datos non supoña un problema.
Cal é o teu negocio? Queremos axudarche!
Autor
