La GDPR (Reglamento General de Protección de Datos de la Unión Europea) es una norma para controlar cómo se protegen los datos dentro de las empresas y que obligará, a las compañías e instituciones, a cambiar la manera en la que procesan la información personal de sus clientes.
Con la GDPR, la Unión Europea quiere dar un mayor control sobre la información de los usuarios a los mismos. Ésta irá desde los típicos datos personales, como el nombre, teléfono, etc., pasando por datos de salud, creencia religiosa, raza, etc., hasta (ésto es nuevo ahora) datos biométricos y genéticos. Con ésto, la UE quiere hacer más transparente lo que las empresas hacen con los datos de los usuarios que verán ampliados sus derechos.
La GDPR trae cambios importantes con respecto a la LOPD, se podría decir que la refuerza, porque la LOPD no desaparece, permanecen juntas y en caso de haber un conflicto entre ambas, permanece la de la legislación comunitaria.
El reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos que confían a terceros.
Establece que las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios y derechos. Actuar sólo cuando ya se ha producido una infracción, es insuficiente como estrategia, dado que la infracción podría causar daños a los interesados, que puede ser difícil de compensar o reparar. Para ello, el reglamento prevé una serie de medias que toda empresa debe adoptar:
El reglamento supone un mayor compromiso de las empresas, públicas o privadas, con la protección de datos. Pero ésto no implica una mayor carga, ya que, en la mayoría de los casos, sólo se tratará de gestionar de una forma distinta la protección de datos que se empleaba hasta ahora.
Sí. El reglamento indica que se incluya una serie de cuestiones que anteriormente no eran obligatorias. Habrá que explicar la base legal para el tratamiento de los datos, los periodos de retención de los mismos y que los interesados puedan dirigir sus reclamaciones si piensan que hay un problema con la forma en la que están manejando sus datos. Es importante recordar que el reglamento exige que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.
El ISO 27001 es la norma principal internacional de seguridad de la información, publicada por primera vez en 2005. Esta norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información. Introduce una serie de requisitos, nuevos o mejorados, que se aplican a las empresas que tratan con datos personales y es el punto de partida para el cumplimiento de la GDPR. No es obligatorio que las empresas se certifiquen en el ISO 27007 ya que es un periodo que puede abarcar incluso años, aunque para las grandes empresas es una forma de controlar que todo se esté haciendo correctamente y cumpliendo con la norma que nos atañe a todas las empresas.
Hasta aquí la primera parte de “La nueva normativa de la GDPR para la protección de datos en Europa”. En la segunda parte, abordaremos la forma de cumplir toda la normativa y no morir en el intento.
