jlb Studio y la GDPR

GDPR

Aplicación del Reglamento General de Protección de Datos (GDPR) de la U.E, Reglamento UE 2016/679

 

Se estima que solo un 10% de las empresas españolas están preparadas para la entrada de la regulación, sin embargo, la gran mayoría trabaja con datos de terceros y necesitan ponerse al día para no exponerse a multas de hasta 20 millones de euros o el 4% de su facturación anual en caso de brecha de seguridad.

 

Reglamento General de Protección de Datos (GDPR)

 

A partir del 25 de mayo de 2018 será obligatorio el cumplimiento del nuevo reglamento para la protección de datos en toda la Unión Europea.

 

Algunos de los principios que se establecen en la GDPR son una continuación de los establecidos en la Directiva de protección de datos existente, concretamente: justicia, legalidad y transparencia; limitación de la finalidad; minimización de la información; calidad de la información; seguridad, integridad y confidencialidad.

 

La GDPR establece un nuevo principio de responsabilidad creando controladores de la información responsables de demostrar el cumplimiento de estos principios. Asímismo, la GDPR añade nuevos aspectos a los principios de protección de la información ya existentes.

 

Legalidad, justicia y transparencia. La información personal debe ser procesada ahora de forma transparente en función del tipo de información.

 

Limitación de propósitos. Con algunas salvedades, la archivación de la información personal de interés público no se considerará incompatible con los propósitos de procesamiento originales.

 

Almacenamiento. La información personal debe estar guardada en una forma que permita la identificación de los sujetos de la información durante no más tiempo del necesario para los propósitos para los que se procesa la información personal.

 

Responsabilidad. El controlador de la información se convierte en el responsable, y debe ser capaz de demostrar el cumplimiento de los principios.

 

Preguntas frecuentes sobre GDPR

 

¿A quién afecta el GDPR?

 

El GDPR no solo se aplica a las organizaciones ubicadas dentro de la UE, sino que también se aplicará a organizaciones ubicadas fuera de la UE si ofrecen bienes o servicios a, o monitorean el comportamiento de los sujetos de datos de la UE. Se aplica a todas las empresas que procesan y mantienen los datos personales de los interesados ​​que residen en la Unión Europea, independientemente de la ubicación de la empresa.

 

¿Cuáles son las sanciones por incumplimiento?

 

Las organizaciones pueden recibir multas de hasta el 4% de la facturación global anual por infringir el GDPR o € 20 millones. Esta es la multa máxima que puede imponerse para las infracciones más graves, ya que no tiene el consentimiento suficiente del cliente para procesar los datos ni violar el núcleo de los conceptos de Privacidad por Diseño. Existe un enfoque escalonado de multas, por ejemplo, una empresa puede recibir una multa del 2% por no tener sus registros en orden (artículo 28), no notificar a la autoridad supervisora ​​el sujeto de datos sobre una infracción o no llevar a cabo una evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que las ‘nubes’ no estarán exentas de la aplicación de GDPR.

 

¿Los procesadores de datos necesitan un consentimiento del sujeto de datos «explícito» o «no ambiguo», y cuál es la diferencia?

 

Las condiciones para el consentimiento se han fortalecido, ya que las empresas ya no podrán utilizar largos términos ilegibles y condiciones plenas de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento, lo que significa que debe ser inequívoco. El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado en una forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como lo es otorgarlo. Se requiere el consentimiento explícito solo para procesar datos personales confidenciales, en este contexto, nada menos que «aceptar» será suficiente. Sin embargo, para datos no confidenciales, el consentimiento «inequívoco» será suficiente.

 

¿Qué pasa con los sujetos de datos menores de 16 años?

 

Se requerirá el consentimiento de los padres para procesar los datos personales de los niños menores de 16 años para los servicios en línea; los estados miembros pueden legislar por una edad más baja de consentimiento, pero ésta no será inferior a los 13 años.

 

¿Cuál es la diferencia entre un reglamento y una directiva?

 

Un reglamento es un acto legislativo vinculante. Debe aplicarse en su totalidad en toda la UE, mientras que una directiva es un acto legislativo que establece un objetivo que todos los países de la UE deben alcanzar. Sin embargo, corresponde a cada país decidir cómo. Es importante señalar que el GDPR es un reglamento, en contraste con la legislación anterior, que es una directiva.

 

¿Mi empresa necesita designar a un Oficial de Protección de Datos (DPO)?

 

Los OPD deben ser nombradas en el caso de: (a) autoridades públicas, (b) organizaciones que participan en el monitoreo sistemático a gran escala, o (c) organizaciones que participan en el procesamiento a gran escala de datos personales confidenciales (Artículo 37). Si su organización no se encuentra en una de estas categorías, entonces no necesita designar un DPO.

 

¿Cómo afecta el GDPR a las políticas relacionadas con las violaciones de datos?

 

Las regulaciones propuestas que rodean las infracciones de datos se relacionan principalmente con las políticas de notificación de las empresas que han sido violadas. Las infracciones de datos que puedan representar un riesgo para las personas deben notificarse a la DPA (Directiva de Protección de Datos) dentro de las 72 horas y a las personas afectadas sin demora indebida.

 

Puede descargarse el documento original traducido al castellano desde aquí: Reglamento UE_2016-679 GDPR

 

 

Si desea ampliar ésta información y conocer de qué manera jlb Studio puede colaborar en el cumplimiento del mencionado reglamento por parte de su empresa, no dude en ponerse en contacto con nosotros.