Reglamento general de protección de datos
El Reglamento general de protección de datos de la UE sustituye la Directiva sobre protección de datos 95/46/CE y ha sido concebido con el fin de crear una organización para las leyes en materia de confidencialidad de datos personales en toda Europa, en aras de proteger la confidencialidad de los datos de todos los ciudadanos de la UE en cualquier parte del mundo.
El objetivo del Reglamento general de protección de datos consiste en proteger a todos los ciudadanos de la UE de infracciones de su confidencialidad y filtraciones de datos en un mundo que se basa cada vez más en datos y que es muy diferente al momento en el que se instauró la directiva de 1995. Aunque los principios básicos de la confidencialidad de datos siguen siendo los mismos que los de la directiva anterior, se han propuesto numerosos cambios en las políticas reglamentarias. A continuación se detallan los puntos principales del Reglamento general de protección de datos, así como la información sobre las repercusiones que tendrá en las empresas.
Esta información se ha extraído del sitio web del Reglamento general de protección de datos.
Mayor ámbito territorial (aplicabilidad extraterritorial)
El Reglamento general de protección de datos tiene una mayor jurisdicción, habida cuenta de que es aplicable a todas las empresas a nivel mundial que procesen información personal identificable de ciudadanos de la UE en cualquier parte del mundo. Las empresas que no pertenezcan a la UE y que procesen datos de ciudadanos de la UE también tendrán que designar a un representante en la UE.
Sanciones
De conformidad con el Reglamento general de protección de datos, aquellas organizaciones que incumplan dicho reglamento podrán ser multadas con sanciones de hasta un 4 % de su volumen de negocios anual o 20 millones de EUR (tomándose de las dos cantidades la de mayor valor). Se trata de la sanción máxima que podrá imponerse ante las infracciones más graves: p. ej., cuando no se cuente con el suficiente consentimiento del cliente para procesar los datos o cuando se infrinja la esencia de los conceptos de privacidad desde el diseño.
Consentimiento
Las condiciones para el consentimiento son más rigurosas y las empresas ya no podrán emplear términos y condiciones ilegibles de gran extensión y llenos de jerga jurídica, ya que la solicitud de consentimiento debe realizarse de forma inteligible y sencilla, y la finalidad del procesamiento de datos debe ir adjunta a dicho consentimiento.
Notificación de infracción de los derechos de los interesados
De acuerdo con el Reglamento general de protección de datos, será obligatoria una notificación de infracción en todos los Estados miembros en los que una filtración de datos tenga probabilidad de «provocar un riesgo para los derechos y libertades de las personas». Esto deberá llevarse a cabo en un plazo de 72 tras haberse constatado la filtración. A los responsables del tratamiento también se les exigirá avisar «sin dilación indebida» a sus clientes, los responsables, después de constatarse por primera vez una filtración de datos.
Derecho de acceso
Parte de la ampliación de los derechos de los interesados descrita en el Reglamento general de protección de datos es el derecho de los interesados a obtener del responsable del tratamiento la confirmación de si se están procesando o no datos personales que les incumban, en qué lugar y con qué fin. Además, el responsable del tratamiento deberá proporcionar una copia de los datos personales, de forma gratuita y en formato electrónico. Este cambio representa un giro drástico en lo que respecta a la transparencia de datos y al empoderamiento de los interesados.
Derecho al olvido
También conocido como derecho de supresión de datos, el derecho al olvido autoriza al interesado a hacer que el responsable del tratamiento suprima sus datos personales, cese la difusión de los datos y, potencialmente, haga que terceros detengan el procesamiento de los datos. Entre las condiciones para el borrado, descritas en el artículo 17, se incluyen que los datos ya no sean relevantes para las finalidades originales del procesamiento o que un interesado retire su consentimiento. Cabe también señalar que este derecho exige que los responsables contrasten los derechos de los interesados con «el interés público en la disponibilidad de los datos» al considerar tales solicitudes.
Portabilidad de datos
El Reglamento general de protección de datos introduce la portabilidad de los datos: el derecho de un interesado a recibir los datos personales que le conciernan, que haya facilitado previamente en un formato «de uso común, de lectura mecánica» y que tenga derecho a transmitir a otro responsable del tratamiento.
Privacidad desde el diseño
La privacidad desde el diseño como concepto lleva existiendo varios años, pero es ahora cuando pasa a formar parte de un requisito legal del Reglamento general de protección de datos. Esencialmente, la privacidad desde el diseño insta a la inclusión de la protección de datos desde el comienzo del diseño de sistemas, en lugar de añadirla posteriormente.
Delegados de protección de datos (DPD)
A diferencia de la Directiva sobre protección de datos, de acuerdo con el Reglamento general de protección de datos, no será necesario enviar notificaciones o registros de actividades de procesamiento de datos a cada autoridad de protección de datos local, ni será un requisito notificar u obtener la autorización para transmisiones en base a las cláusulas contractuales tipo (CCT). En lugar de ello, habrá requisitos de documentación internos y nombramientos de DPD, pero solo para aquellos casos cuyas actividades básicas abarquen operaciones de procesamiento que exijan una supervisión de los interesados periódica y sistemática a gran escala, o bien se trate de una supervisión de categorías de datos especiales o de datos relacionados con condenas o delitos penales.
ShieldQ y el Reglamento general de protección de datos
ShieldQ ya está preparada para el Reglamento general de protección de datos. El usuario se puede poner en contacto con un representante de ShieldQ, que configura fácilmente el sistema de la organización para restringir la transmisión de datos personales a servidores establecidos en Europa. Adecuada para cualquier empresa u organización que envíe datos personales dentro de la UE, la función del Reglamento general de protección de datos de la UE para ShieldQ puede implementarse en una cuenta específica.