Privacidad

Home > Qué hacemos > Privacidad

Las empresas y la privacidad: entre obligaciones y oportunidades

La necesidad de promulgar un Reglamento Europeo en materia de privacidad surge de la continua evolución de los conceptos mismos de privacidad y protección de datos personales y, por lo tanto, de la relativa tutela debida principalmente a la difusión del progreso tecnológico. La adaptación al Reglamento de la UE en materia de protección de datos personales, denominado Reglamento General de Protección de Datos o «RGPD», conlleva varias obligaciones que las empresas deben cumplir. Sin embargo, la adaptación a la normativa de privacidad genera numerosas ventajas y oportunidades, ya que representa ese valor añadido que distingue a la empresa en términos de seriedad, fiabilidad y garantía.

Las ventajas del cumplimiento del RGPD:

Iniciar un proceso de adaptación al RGPD no solo es obligatorio, sino que representa una oportunidad para que las empresas mejoren sus servicios y procesos productivos. A través de algunas actividades:

  • favorecer la mitigación en la gestión de riesgos y la continuidad del negocio para la continuidad operativa de la empresa;
  • actualizar las políticas de acceso lógico y físico y mejorar las medidas, las competencias y la cultura empresarial con vistas al principio innovador de responsabilidad o «accountability» introducido por el nuevo Reglamento de la UE;
  • garantizar la reputación de la empresa o la denominada «reputación de marca»;
  • revisar la red informática de la empresa desde la perspectiva del RGPD para actuar sobre los sistemas obsoletos que ralentizan el funcionamiento y la productividad de la empresa
  • acercar a la empresa a la adopción de los estándares tecnológicos y de procesos informáticos exigidos por los proveedores y clientes más innovadores y avanzados.

 

Resumen de las novedades

El RGPD introduce normas más claras en materia de información y consentimiento, define los límites del tratamiento automatizado de datos personales, sienta las bases para el ejercicio de nuevos derechos, como el «derecho a la portabilidad de los datos» y el «derecho al olvido», establece criterios rigurosos para la transferencia de datos a terceros países y organizaciones internacionales y regula los casos de violación de datos personales, denominados «violaciones de datos».

 

Las figuras del RGPD

  • Responsable del tratamiento
  • Responsable y subresponsable del tratamiento
  • Delegado de protección de datos (DPO, por sus siglas en inglés)
  • Autorizado para el tratamiento

 

Los riesgos y sanciones derivados de la violación de los datos personales

El incumplimiento del RGPD y de la normativa nacional en materia de protección de datos personales puede acarrear sanciones administrativas y penales para la empresa:

  • Sanciones administrativas pecuniarias (hasta el 4 % de la facturación de la empresa)
  • La limitación o prohibición por parte de la autoridad de control del tratamiento de datos personales, con la posibilidad de bloquear las actividades y, en consecuencia, el negocio de la empresa
  • Pérdidas financieras considerables para la empresa
  • Obligación de indemnizar por daños materiales y/o inmateriales al interesado que sufra un perjuicio, por parte del responsable del tratamiento o del encargado del tratamiento
  • Responsabilidad penal por el tratamiento ilícito de datos, la comunicación y difusión ilícita de datos personales, la adquisición fraudulenta de datos personales, la falsedad en las declaraciones al Garante y la interrupción de la ejecución de las tareas o del ejercicio de las facultades del Garante.

 

Cuestiones sobre la organización de la empresa. ¿Mi empresa cumple con la normativa? ¿Cómo delimitar las actividades de la empresa?

  1. ¿He preparado los formularios para proceder a la recogida de datos proporcionando una información completa, inteligible, fácilmente accesible y utilizando un lenguaje sencillo y claro?
  2. ¿He organizado mi actividad de manera que solo se recopilen y traten los datos que son necesarios y útiles para la actividad de la empresa? ¿Qué datos puedo solicitar?
  3. ¿Se ha recabado y registrado el consentimiento del interesado? ¿Existen condiciones distintas al consentimiento que legitiman el tratamiento de los datos personales?
  4. ¿He nombrado y formado adecuadamente a mis colaboradores/empleados y he formalizado la gestión de las relaciones en outsourcing?
  5. ¿He organizado el almacenamiento de los documentos de manera que estén siempre disponibles y que solo el personal autorizado pueda acceder a los datos?
  6. ¿He realizado la evaluación de impacto sobre la privacidad o DPIA «data protection impact assessment»?
  7. ¿Es necesario/conveniente nombrar a un DPO «Data Protection Officer»?
  8. ¿Se debe llevar un registro de los tratamientos?
  9. ¿Se han preparado herramientas/procedimientos empresariales para notificar al Garante las violaciones de datos?
  10. ¿He previsto garantías estrictas para la transferencia de datos fuera de la UE?