El incremento experimentado en los últimos tiempos en cuanto a número e impacto en ciberataques con objetivo de robar información ha hecho necesario un cambio en la legislación en materia de protección de datos en Europa. La GDPR (General Data Protection Regulation), que comenzará a aplicarse en mayo de 2018, tiene como objetivo proteger los datos de los ciudadanos europeos y controlar cómo las organizaciones procesan, almacenan y utilizan estos datos. A grandes rasgos, con esta nueva normativa la Comisión Europea ha buscado devolver a los europeos el control sobre sus datos, eliminando las ambigüedades de la directiva anterior, que además databa de 1995, así como unificar las legislaciones específicas de cada país.
¿Qué es lo que cambia con esta nueva normativa?
La GDPR contiene casi 100 artículos que, en resumen, garantizan un acceso a los datos más sencillo para los individuos y una atribución de responsabilidad más clara para las empresas. Estos son los principales cambios de la GDPR frente a la normativa anterior:
- Ámbito de acción de la norma: la GDPR afecta a todas las organizaciones que almacenen datos de ciudadanos la UE, incluso aunque no tengan presencia física en Europa.
- Obtención de consentimiento explícito: las organizaciones tienen la obligación de obtener un consentimiento explícito y activo por parte del individuo tras una explicación totalmente transparente del objetivo (procesamiento, almacenamiento o uso de los datos). Ya no es suficiente con informar al usuario, sino que es preciso que la persona exprese activamente su conformidad.
- Derecho de acceso: todos los ciudadanos tendrán derecho a obtener confirmación de si una empresa está tratando sus datos personales; en caso afirmativo, podrán acceder a estos datos y la organización estará obligada a facilitar una copia y a explicar los fines del tratamiento de datos y los criterios y plazo de conservación. Vinculado a este derecho, en la GDPR se recoge también el derecho a la rectificación de los datos.
- Derecho al olvido: es, probablemente, el más mediático de los derechos incluidos en la nueva norma. Este artículo permite al usuario solicitar la supresión de sus datos personales en diversos supuestos: que ya no sean necesarios para el propósito para el que fueron recogidos, si se ha retirado el consentimiento, si los datos se obtuvieron en relación a una oferta de servicios de comercio electrónico o si los datos fueron procesados de forma ilícita, entre otros.
- Derecho de portabilidad: el usuario tendrá derecho a solicitar que la organización que almacena sus datos personales le facilite una copia o transfiera estos datos a otra organización. La forma de hacerlo es mediante un formato estructurado de uso corriente y lectura mecánica.
- Responsabilidad de la organización: en términos generales, la responsabilidad de empresas e instituciones se ha visto incrementada con la entrada en vigor de la GDPR. Las organizaciones estarán obligadas a implementar sistemas de monitorización, documentar los procedimientos de recogida, almacenamiento y uso de datos personales (en empresas de más de 250 empleados), reportar cualquier brecha de seguridad o ataque que sufran a los organismos responsables en 72 horas o incluso contratar a un responsable de protección de datos en empresas que manejen grandes cantidades de información sensible.
¿Qué pueden hacer las empresas para estar preparadas?
- Proteger los datos. Puede parecer una obviedad, pero es la base de todo plan de adaptación a la GDPR: es necesario reforzar activamente la seguridad de la información durante todo su ciclo de vida. Para ayudar a las empresas en este proceso, Panda Security cuenta con Adaptive Defense, que incluye las herramientas necesarias para implementar estas medidas de prevención.
- Implementar un programa de consentimiento explícito para clientes. Con la nueva normativa, todas las empresas tendrán que ofrecer a sus clientes la opción de manifestar activamente su consentimiento para el tratamiento y uso de sus datos.
- Elaborar un plan de acción. Para evitar verse abrumado por la aplicación de la GDPR lo primero es contar con un plan, comenzando por un análisis de la situación actual de la empresa en cuanto a obtención, procesamiento, almacenamiento y uso de datos personales. En nuestra “Guía de anticipación al Nuevo Reglamento General de Protección de Datos Europeo” explicamos algunas pautas útiles para la creación de este plan de acción.