La nueva regulación europea impone una serie de obligaciones a las empresas. Todas las compañías que realicen algún tipo de tratamiento de datos deberán ejecutar importantes cambios antes de 2018.
El Reglamento General de Protección de Datos (RGPD), que ha impuesto un nuevo marco normativo para el conjunto de países europeos, ha otorgado un mayor grado de control a los ciudadanos sobre su información privada en el mundo 2.0. Este texto, que entrará en vigor en mayo de 2018, también impone cambios radicales para las empresas y éstas deben ponerse a trabajar desde hoy para adaptar sus protocolos y estructuras a la nueva regulación.
Consentimiento
Al no permitirse ya el consentimiento tácito, el reglamento obliga a todas las empresas a revisar el conjunto de cláusulas y rehacerlas. Es necesario comunicar de una manera nueva, clara y simple con el usuario. Pasamos a un modelo más amable, en el que se pretende que el usuario se lea los términos y condiciones. El consentimiento debe ser revocable en cualquier momento. Las empresas deben asegurarse de que los datos sólo están siendo empleados para los fines para lo que fueron recabados.
Estudio de riesgos
El privacy impact assesment (PIA) o estudio de riesgos es una tarea primordial que hay que tener ya pensado para todos los nuevos tratamientos en los que exista un alto riesgo para la protección de datos. Lo mejor que puede hacer una empresa es automatizar este proceso. Deben desarrollar una herramienta eficiente que identifique cuando es necesario hacer un análisis.
Comunicación de fallos
Es una nueva obligación impuesta por el RGPD. El responsable de tratamiento deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos (AGPD) en un plazo de 72 horas.
DPO
El data protection officer o delegado de protección de datos es una figura esencial en el reglamento. Tendrá que identificar los riesgos y buscar soluciones para solventarlos. Las empresas deberán contar con este delegado, interno o externo, otorgarle total independencia y aportarle las herramientas que necesite cuando las solicite.
Formación
Educación y sensibilización, esto es lo que debe hacer una compañía respecto a la protección de datos. Habitualmente, en casos de tratamientos inadecuados, lo que falla no son las propias tecnologías, sino el ser humano, ya sea por no seguir las reglas, por negligencia o, en ciertos casos, intencionalmente. El factor humano es el eslabón débil y, por eso, la única medida adecuada es la formación y que la empresa genere actividades para tomar conciencia de la importancia de la protección de datos.
Sector sanitario y los datos relativos a la salud
El sector sanitario es uno de los ámbitos más expuestos y afectados por la nueva normativa de protección de datos europea. Los datos especiales, hasta ahora conocidos como datos sensibles -salud, origen racial, religión-, cuentan con obligaciones reforzadas. Además, el Reglamento General de Protección de Datos amplía al listado de datos especiales los genéticos y los biométricos. Las entidades cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos personales -hospitales, clínicas, aseguradoras médicas, mutuas y, eventualmente, laboratorios y empresas farmacéuticas- estarán obligadas a nombrar un delegado de protección de datos.
