El GDPR tendrá un impacto global cuando entre en vigor el 25 de mayo de 2018, según Gartner, que prevé que a finales de 2018, más del 50% de las empresas afectadas por el GDPR no cumplirán plenamente sus requisitos.
“El GDPR afectará no solo a las organizaciones de la UE, sino también a muchos controladores de datos y procesadores fuera de la UE”, dijo Bart Willemsen, director de investigación de Gartner. “Las amenazas de multas fuertes, así como la mayor transcendencia de los datos personales, deben impulsar a los negocios al cumplimiento normativo y a reforzar protección de los datos de sus clientes”.
El GDPR sustituye a la Directiva 95/46 /CE relativa a la protección de datos y está concebido para apoyar el mercado único, armonizar las leyes de privacidad de datos en toda Europa, proteger y potenciar la privacidad de los datos de los ciudadanos de la UE y reformar la forma en que las organizaciones abordan la privacidad de los datos de los europeos dondequiera que trabajen en el mundo.
Gartner recomienda que las organizaciones actúen ahora para asegurarse de que están en conformidad cuando la regulación entre en vigor. Deben centrarse en cinco cambios de alta prioridad para ayudarlos a ponerse al día con los requisitos de GDPR.
Índice de temas
1. Determine su papel bajo el GDPR
Cualquier organización que decida por qué y cómo se procesan los datos personales es esencialmente un ‘controlador de datos’. Por lo tanto, el GDPR se aplica no solo a las empresas de la Unión Europea, sino también a todas las organizaciones fuera de la UE que tratan datos personales para la oferta de bienes y servicios a la UE o supervisan el comportamiento de los sujetos de la UE. Estas organizaciones deberían nombrar a un representante para que actúe como punto de contacto de la autoridad de protección de datos (DPA) y de los interesados.
2. Designar un oficial de protección de datos
Muchas organizaciones están obligadas a designar un oficial de protección de datos (DPO). Esto es especialmente importante cuando la organización es un organismo público, está procesando operaciones que requieren monitoreo regular y sistemático, o tiene actividades de procesamiento a gran escala. ‘Gran escala’ no significa necesariamente cientos de miles de sujetos de datos.
3. Demostrar responsabilidad en todas las actividades de procesamiento
Muy pocas organizaciones han identificado cada uno de los procesos en los que están involucrados los datos personales. En el futuro, la limitación del propósito, la calidad de los datos y la relevancia de los datos deben decidirse al iniciar una nueva actividad de procesamiento, ya que esto ayudará a mantener el cumplimiento en futuras actividades de procesamiento de datos personales. Las organizaciones deben demostrar una postura responsable en el terreno y la transparencia en todas las decisiones relacionadas con las actividades de procesamiento de datos personales. Las partes externas también deben cumplir con los requisitos pertinentes que pueden afectar la oferta, la gestión del cambio y los procesos de adquisición. Es importante señalar que la rendición de cuentas en el marco del GDPR requiere la adquisición y el registro de los datos por parte de los interesados.
4. Compruebe los flujos de datos transfronterizos
Todavía se permiten las transferencias de datos a cualquiera de los 28 Estados miembros de la UE, así como a Noruega, Liechtenstein e Islandia. Las transferencias a cualquiera de los otros 11 países de la Comisión Europea (CE) que se considere tener un nivel de protección ‘adecuado’ también son posibles. Fuera de estas áreas, se deben utilizar salvaguardias apropiadas tales como las Reglas Corporativas Vinculadas (BCR) y las cláusulas contractuales estándar (es decir, los ‘Contratos Modelo’ de la UE). Los responsables de la gestión de datos de la UE deberían prestar especial atención a los nuevos mecanismos del GDPR cuando seleccionen o evalúen a los procesadores de datos fuera de la UE y aseguren que los controles adecuados están en vigor. Fuera de la UE, las organizaciones que procesan datos personales de residentes de la UE deben seleccionar el mecanismo apropiado para garantizar el cumplimiento del GDPR.
5. Prepararse para que los sujetos de datos ejerzan sus derechos
Los sujetos de los datos tienen derechos ampliados bajo el GDPR. Estos incluyen el derecho a ser olvidados, a la portabilidad de datos y a ser informados (por ejemplo, en caso de una violación de datos). Si una empresa aún no está preparada para manejar adecuadamente los incidentes de violación de datos y los sujetos que ejercen sus derechos, ahora es el momento de comenzar a implementar controles adicionales.