La hora del GDPR: Hoy es un viernes diferente

Kelvin Seddon, managing director para NoBlue España

Publicado el 25 May 2018

Kelvin Seddon, Managing Director NoBlue

Hoy es viernes. Pero es un viernes diferente. En nuestras oficinas, imagino que como en otras tantas, la sensación no es la misma de otros viernes. La vista no está puesta en el resumen de la semana. Tampoco en los planes del fin de semana. La sensación que se respira es de cambio. De incertidumbre quizá. Y es que ya ha llegado el nuevo Reglamento General de Protección de Datos (GDPR).

Se trata de un cambio de obligado cumplimiento. Muy obligado, además, ya que las empresas que no lo hagan pueden recibir sanciones de hasta el 4% de la facturación global de la empresa o multas de hasta 20 millones de euros. También es importante estar al día en más legislaciones como la Directiva de Servicios de Pago -Payment Services Directive (PSD2)- que entra en vigor el 13 de Enero y afectará a los servicios de pago y nuevas empresas como las FinTech; y la Directiva NIS, aprobada en Julio de 2016 y en vigor desde agosto, para la seguridad de redes y sistemas de información, un primer paso en legislación sobre ciberseguridad.

Llevamos meses trabajando en los cambios a los que se enfrentarán las diferentes empresas de diferentes sectores y es que supone una gestión completamente distinta y más restrictiva a la que se viene aplicando actualmente y es imprescindible que las empresas y organizaciones la acaten. Quizá podamos destacar tres aspectos fundamentales que deberían estar aplicándose ya, desde esta misma mañana, en las compañías:

  • Protección de datos

La recogida de datos debe ser específica, explícita y legítima, limitándose a lo necesario para el fin indicado.

Debe garantizarse la protección de los datos, el derecho al olvido, modificación, eliminación o rectificación de forma tan sencilla como para la recogida y almacenarse sólo el tiempo estrictamente necesario para el fin acordado.

Además, su almacenamiento y tratamiento deberá garantizar la seguridad, incluida la protección frente a pérdida, destrucción o daños, así como el acceso ilícito o no autorizado.

  • Tratamiento lícito: Solo se considerará lícito si…
  • El interesado ha dado su consentimiento para el fin específico
  • Si los datos son necesarios para un contrato
  • Existe una obligación legal, como la declaración de impuestos
  • Son de interés público o en el ejercicio de poderes públicos
  • Son necesarios para proteger intereses legítimos salvo que prevalezcan los intereses, derechos fundamentales y libertades del interesado.
  • Transferencias internacionales: El GDPR mantiene los pasos marcados en la Directiva 95/46 y normativas nacionales de transposición. El GDPR contempla que la transferencia internacional solamente puede tener lugar fuera del EEE -Espacio Económico Europeo- si 1) ésta se realiza a países, territorios o sectores específicos u ‘organizaciones internacionales’ que tengan reconocido un nivel de protección adecuado o 2) hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino. Dichas garantías las debe ofrecer el exportador, ya sea responsable de tratamiento o encargado del mismo. 3) Excepcionalmente, por motivos de necesidad vinculados al propio interés del titular de los datos o a intereses generales (sin garantías de protección).

A partir de hoy, este viernes diferente, muchos procedimientos han cambiado. Muchas empresas han ajustado y modificado numerosas gestiones para poder adecuarse a esta nueva normativa. Y estoy seguro de que no serán pocas las compañías que continúen modificando y perfilando pequeños flecos hasta cumplir rigurosamente con el nuevo reglamento. Tanto para los que hemos hecho los deberes con tiempo, como para los que han esperado hasta el último momento, o siguen haciéndolos con la clase empezada, hoy, sin duda, es un viernes diferente.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Redacción

Artículos relacionados