Desde Aemol Consulting y a través del presente artículo tratamos de acercar la nueva normativa a las empresas tecnológicas reparando en los siguientes aspectos esenciales que, a nuestro juicio, tendrán que tener en cuenta las empresas a partir del 25 de mayo de 2018 y que son:
1. Auditorías Inicial: Es importante que antes de iniciar la adaptación al Reglamento (UE) 2016/679, actualizar las políticas, protocolos y textos relativos a la protección de datos, realizar una auditoría en la empresa que permita valorar los cambios necesarios y en qué punto se encuentra la empresa en cuanto al cumplimiento con la nueva normativa. Estas auditorías deberán llevarse a cabo por profesionales jurídicos expertos en protección de datos y por profesionales informáticos con conocimientos en ciberseguridad.
2. Deber de información: El Real Decreto de protección de datos amplía la información que debe ser comunicada en el caso de los datos personales, y además de los derechos ARCO de acceso a la rectificación, cancelación y oposición añade otros nuevos como son la limitación o portabilidad.
3. Análisis del riesgo: las empresas estarán obligadas a analizar las vulnerabilidades informáticas y posibles brechas de seguridad con el objetivo de impedir, bloquear o neutralizar los delitos informáticos. Este análisis requiere revisiones periódicas y siempre que cambien las circunstancias tecnológicas en la empresa o en el sector informático y teniendo en cuenta el estado de la técnica (art. 25 RGPD).
4. Se establecerá la figura del DPO (Delegado de Protección de Datos), de obligatoria creación para las empresas que realicen tratamientos que requieran una observación regular y sistemática de los interesados a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos especiales o datos relacionados con delitos penales. El DPO podrá ser interno o externo y deberá ser designado atendiendo a las cualidades profesionales, conocimientos y práctica en materia de protección de datos.
5. Refuerza el derecho de transparencia, por el que se obliga a proporcionar más información con carácter previo a la recogida de los datos y el derecho al olvido para solicitar que los datos personales sean suprimidos en determinadas circunstancias.
6. Introduce la obligación de notificación a la Agencia Española de Protección de Datos (AEDP) y al interesado, dependiendo de la gravedad, aquellas brechas de seguridad (plazo máximo de 72 horas) que se produzcan y que supongan riesgo de daños y perjuicios físicos, materiales o inmateriales para las personas físicas.
7. Impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD), siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologías, entrañen un alto riesgo para los derechos y libertades de las personas físicas; y prevé multas millonarias que pueden alcanzar los 20 millones de euros o hasta un 4% de la facturación anual, la cifra de mayor cuantía.
