La Unión Europea prevé que la aplicación del GDPR supondrá sanciones de hasta veinte millones de euros o el 4% de facturación del periodo anterior por incumplimiento. Ahora que estamos en la recta final es conveniente determinar si nuestra empresa está correctamente adaptada al reglamento. Mide tu grado de conocimiento, ¿puedes responder a estas 7 preguntas? Data Control de Panda Security te facilita el camino en su cumplimiento.
1– ¿ Quiénes son los principales organismos y actores afectados por el GDPR?
Comité Europeo de Protección de Datos. El Comité está compuesta por una autoridad de control de cada Estado miembro (28) y del Supervisor Europeo de Protección de Datos. La función del Comité será revisar lo que está funcionando y lo que no está funcionando y también dar asesoramiento y orientación.
Autoridad de Control de Protección de Datos (DPA). Autoridad pública independiente que se establece por un Estado miembro para hacer cumplir la legislación local.
Encargado del tratamiento. Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales en nombre del responsable del tratamiento. El encargado no determina el propósito y el o los medios del tratamiento. Ellos sólo procesan los datos conforme a lo solicitado por el controlador.
Responsable del tratamiento. La persona o el departamento de la empresa responsable de define qué datos personales necesita y con qué propósito. Entonces, la empresa solicita los datos de las personas (empleados, clientes, etc. público).
2– ¿Qué pasará con las Leyes de Protección de Datos de los Estados miembros?
El Reglamento no las deroga ni puede derogarlas, pues dicha atribución corresponde a cada Estado miembro. El Reglamento provoca el “desplazamiento normativo” de las Leyes de los Estados en todo lo que se oponga a la regulación europea. En consecuencia, en los Estados miembros será necesario tener en cuenta tanto la GDPR como la Ley del cada Estado. Cuando haya conflicto entre una y otra, entonces, aquello dictado por la GDPR aplicará por encima de la Ley del Estado miembro.
3– ¿Deben las empresas revisar sus avisos de privacidad?
Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.
4– ¿Cambia la forma en la que hay que obtener el consentimiento?
Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
5– ¿Puedo subcontratar o compartir las tareas del DPO?
Las empresas de presupuesto limitado pueden subcontratar o compartir las tareas del DPO. La Regulación establece que un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento. Si se subcontrata, sería necesario establecer un acuerdo de nivel de servicio (SLA) que garantice que puede cumplir con la GDPR, no sólo marcando la casilla de verificación del DPO, sino que el DPO pueda responder a la solicitud de los datos por parte de interesados y el resto de derechos establecidos en el Reglamento.
6– ¿Cuándo, a quién y cómo tengo que notificar un incidente de seguridad?
Siempre que afecte a datos personales de personas físicas, tanto si el acceso es pérdida o robo como si es un simple acceso a esos datos. Si no se notifica el incidente cuando se requiera hacerlo, en las siguientes 72h de su detección, puede resultar en multas de hasta 10 millones de euros o el 2% de su facturación global.
¿A quién? Es importante tener en cuenta es que hay dos umbrales diferentes, uno para notificar a los clientes o público en general y otro para alertar a la DPA.
- Si los datos personales accedidos incluyen cualquier identificador, por ejemplo, direcciones de correo electrónico, ID de cuenta online o IP, será necesario notificarlo a las personas físicas afectadas.
- Si los datos contienen información monetaria – números de cuenta bancaria u otros identificadores financieros – entonces el incidente es “probable que dañe” al individuo y se debe notificar a la DPA.
¿Cómo? Además de describir la naturaleza del incidente, la notificación debe mencionar los tipos de datos, el número de individuos y el número de registros expuestos. La empresa debe describir las posibles consecuencias del incumplimiento, así como cualquier esfuerzo de mitigación que se deba realizar.
7– ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?
No. El Reglamento está en vigor, pero no será aplicable hasta el 25 de mayo de 2018. Sin embargo, es útil para las empresas valorar ya la implantación de algunas de las medidas previstas como: realizar análisis de riesgo de sus tratamientos, comenzando por identificar el tipo de tratamientos que realizan; establecer el registro de tratamientos de datos, implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas. También diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades o a los interesados los incidentes de seguridad que pudieran producirse.
Por suerte, para ayudarte con semejante tarea disponemos de herramientas como Panda Adaptive Defense , con su módulo Data Control. Esta herramienta está especializada en simplificar la gestión de estos datos de personales ya que descubre, audita y monitoriza en tiempo real el ciclo de vida completo de estos ficheros. Y es que no olvidemos que mantenernos al día con el GDPR es una tarea activa y meticulosa, pero que podemos simplificar y automatizar si contamos con la ayuda adecuada.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
