Hace aproximadamente año y medio se produjo un pequeño revuelo con ocasión de la entrada en vigor del RGPD y de los cambios tecnológicos que las empresas de software de privacidad y seguridad de la información tenían que realizar en relación con la protección de datos personales.
Quien más y quien menos, aun ajeno a lo que esas siglas significaban, recibía información sobre la entrada en vigor inminente del RGPD, aunque no tuviera muy claro su alcance ni desde el punto de vista de la empresa, ni desde la posición de ciudadano, de persona cuyos datos son tratados hasta en las actividades más cotidianas y aparentemente carentes de trascendencia.
Evidentemente, para las organizaciones que manejan datos personales, especialmente si por su actividad se trata de datos especialmente sensibles como pueden ser datos de salud o de afiliación, la entrada en vigor del RGPD en mayo de 2018, suponía la necesidad de realizar adaptaciones en la organización y tecnología, en el mejor de los casos, y de ponerse en serio con el cumplimiento de la protección de datos, en otros.
El RGPD, siglas que corresponden al Reglamento General de Protección de Datos de la Unión Europea, aprobado el 14 de abril de 2016, responde a la necesidad de disponer de una norma común en materia de protección de datos de las personas físicas en la Unión Europea, exigiendo la adopción de las medidas técnicas y organizativas necesarias para garantizar esa protección en la globalización digital en que vivimos.
El RGPD fue generoso al establecer un período de adaptación muy amplio, dos años, pero en España no se hicieron los deberes a tiempo y la iniciativa legislativa que debía adaptar la regulación nacional a dicho RGPD no concluyó hasta la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPDGDD.
Protección de datos, obligación legal para todos y oportunidad de negocio para algunos
A pesar del retraso de nuestros legisladores en la adaptación de la normativa, las empresas de software de tecnología de la información, de software de protección de datos ya venían trabajando en la adaptación de sus herramientas a las novedades del RGPD:
- El ámbito de aplicación. Se extiende a los sujetos responsables y encargados del tratamiento aunque no radiquen en la UE, siempre que las actividades de tratamiento se refieran a bienes o servicios, o control de comportamientos que si tuvieran lugar en la UE.
- Análisis del riesgo y responsabilidad. La empresa es quien debe analizar el riesgo del tratamiento para los derechos de las personas y, en función del mismo, adoptar las medidas correspondientes para cumplir con la normativa. El responsable del tratamiento debe adoptar las medidas técnicas, organizativas y políticas para cumplir con los principios de protección desde el diseño y por defecto.
- Se reconocen y protegen los nuevos derechos al olvido, limitación en el tratamiento y portabilidad de los datos.
- Se contemplan sanciones más elevadas.
- Evaluaciones de riesgos. El responsable debe analizar los riesgos de posibles destrucciones, alteraciones o pérdidas de datos personales y establecer todas las medidas necesarias para reducir esos riesgos.
- Existe obligación de realizar una evaluación de impacto cuando se realiza un tratamiento de datos a gran escala, una evaluación sistemática y exhaustiva de aspectos personales (perfiles) o una observación sistemática a gran escala de una zona de acceso público.
- Se prevé la obligación de llevar un registro de actividades de tratamiento, RAT, cuando el número de trabajadores es superior a 250, o cuando el tratamiento de datos puede ocasionar un riesgo para los derechos y libertades de los interesados, o incluye categorías especiales o condenas .
El RGPD y la LOPDGGG exigen, para su cumplimiento, disponer de una tecnología capaz de dar respuesta a la debida protección de datos personales. Se trata, no tanto de actuar a posteriori, sino de anticiparse. De diseñar la actividad de nuestra organización y el tratamiento de los datos personales, de todos aquellos con los que nos relacionamos, de manera que se evite cualquier riesgo de la garantía de privacidad que debemos proporcionar. Y, en caso de que, a pesar de todas las medidas empleadas, se produzca una brecha de seguridad o un comportamiento que ponga en peligro los derechos que debemos garantizar, tengamos previstos mecanismos para actuar limitando los efectos y comunicando el riesgo.
Ya sabes, toca buscar y comparar apps y software, también, para luego cumplir de la forma más sencilla y eficiente con la RGPD, pero de momento toca invertir parte de tu tiempo como emprendedor, para dejar resuelta esta obligación legal.
Llegados al final del artículo y si llevas tiempo ejerciendo como empresario es posible que te preguntes, si con el tiempo, no se está complicando la vida a los emprendedores, en relación a las obligaciones que hace años existían para abrir y gestionar un negocio. Hace unas semanas hablamos de este tema en nuestro artículo La evolución en las dificultades para montar un negocio
Debe iniciar sesión para escribir un comentario.