AENOR – Espainiako Normalizazio eta Ziurtapen Elkartea

Hasiera > Gaurkotasuna

Nuevo Reglamento de Protección de Datos

Suspenso en protección de datos

Dos de cada tres empresas consultadas no cumplen el Reglamento de Protección de Datos a tres meses de su entrada en vigor

A tres meses escasos de su entrada en vigor, el 65% de las empresas consultadas por IDC y Microsoft no puede garantizar el cumplimiento del nuevo Reglamento General de Protección de Datos (RGPD en español, GDPR en inglés). Así se concluye del estudio "Cómo Acelerar el Cumplimiento de GDPR" realizado por International Data Corporation (IDC) y Microsoft sobre 100 empresas en España de más de 250 empleados y, aunque la investigación carece de valor estadístico, muestra el desconocimiento y la falta de previsión de muchas empresas ante unas exigencias cuyo incumplimiento puede acarrear multas de hasta 20 millones de euros.

El estudio muestra que el 10% de las empresas cumplen el RGPD, y otro 25% cuenta con planes activos para asegurar el cumplimiento en mayo de 2018. Esto supone que el restante 65% no puede garantizar el cumplimiento del nuevo reglamento.

Pese a que el nuevo reglamento de privacidad personal entró en vigor en mayo de 2016 y concedía un periodo de adaptación a las empresas, asociaciones y administraciones públicas de dos años, el estudio de IDC concluye que un 5% de las compañías asegura que no sabe por dónde empezar, un 15% asegura estar a la espera de más información al respecto, y un 59% tiene dudas sobre qué datos hay que proteger, cómo gestionarlos o qué medidas de seguridad necesitan implementar.

En tales circunstancias, cobra especial importancia la figura del delegado de protección de datos (DPD), dedicado en exclusiva a procesar los datos de carácter personal con arreglo a la ley y que ha de guiar toda la política de uso de información privada. El proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que desarrollará en España el RGPD, cita una serie de "obligados", como las entidades financieras, las operadoras de telecomunicaciones, las aseguradoras, las distribuidoras de electricidad, gas o hidrocarburos, los centros sanitarios o empresas de seguridad privada. El reglamento que entra en vigor el 25 de mayo (la nueva LOPD no lo hará hasta finales de año, en el mejor de los casos) no es tan claro, aunque sí podemos avanzar algunas certidumbres.

El RGPD cita tres categorías de organizaciones obligadas a contar con un DPD bajo riesgo de fuertes sanciones económicas. El primer grupo de entidades lo componen autoridades y organismos públicos que, por lo general, ya están contratando o convocando concurso u oposición para cubrir el puesto.

El segundo grupo de entidades con DPD son aquellas empresas que, "de manera habitual" y "en un volumen considerable" realicen análisis o seguimientos que permitan elaborar perfiles o adoptar decisiones sobre los afectados. Esto incluye, en realidad, a cualquier empresa que reciba y guarde curriculums o que utilicen para sus newsletters, ofertas o programas de fidelización una lista de clientes o de "leads" "considerable" en volumen.

El tercer grupo de "contratadoras de DPD" son aquellas empresas que procesen a gran escala (otra inconcreción) datos personales incluidos en lo que denomina "categorías especiales", como los relativos a salud, orientación sexual, origen étnico, ideología política, religión, condenas, infracciones penales o datos biométricos. Cualquier entidad que realice análisis médicos a sus empleados y conserve los expedientes "a gran escala" estaría en esta tercera categoría.

El DPD, ya sea interno o externo, tendrá que ser un profesional independiente, con conocimientos jurídicos, informáticos y de gestión de riesgo, así como con un gran conocimiento de la organización, y de sus procesos y procedimientos. Solo así podrá ayudar al responsable de tratamiento de los datos a tomar las medidas organizativas y técnicas correctas y garantizar que la información personal sea co


 

Eskubide guztiak erreserbatuta: © AENOR, 2016

Esteka partekatzea

Aenorren informazioa - Legezko abisuak - Erabilerraztasun-deklarazioa - Gunearen mapa