¿Qué es y cómo afecta el RGPD?
A partir del 25 de mayo de 2018, cualquier empresa comunitaria —o de fuera, si comercializa sus productos o servicios en algún país de la Unión Europea— debe estar adaptada al nuevo Reglamento General de Protección de Datos (RGPD).
Qué es el RGPD
Pero… ¿Qué es el Reglamento General de Protección de Datos? El RGPD es la norma que afecta por igual a las grandes corporaciones y a las micropymes —muchas de ellas muy activas en el uso de datos—, el nuevo reglamento general de protección de datos entró en vigor en mayo de 2016, será de aplicación obligatoria para todas las empresas de la Unión Europea a partir del 25 de mayo de 2018, y otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo 2.0. El RGPD amplía sus derechos a decidir cómo desean que sus datos sean tratados y a cómo quieren recibir información de las empresas.
Por qué el RGPD
Las condiciones necesarias para el tratamiento de datos personales se han endurecido, respecto la Ley Orgánica de Protección de Datos (LOPD). En el reglamento europeo de protección se han ampliado los derechos del interesado. El consentimiento para el tratamiento de datos ya no puede ser tácito sino que deberá ser una manifestación afirmativa y expresa. Las empresas no podrán utilizar términos incomprensibles ni condiciones llenas de legalismos. Los términos de los formularios deberán ser de fácil comprensión, claros y concisos, y para cada finalidad, en especial para finalidades comerciales.
El RGPD y por ende, la Agencia Española de Protección de Datos (AEPD), ha señalado que la negligencia y la mala voluntad en el cumplimiento pro activo de la normativa de protección de datos serán sancionadas de forma dura (con multas de hasta 20 millones de euros o de un 4% del volumen de negocio). Del mismo modo, por no cumplir las pautas prescritas en el nuevo reglamento de protección de datos personales como tener los registros de actividades de tratamiento; los análisis de riesgos, o en su caso designado el Delegado de Protección de Datos (DPO) o realizadas las Evaluaciones de Impacto, o puestos en práctica los derechos de información preceptivos o legitimadas las bases jurídicas de los tratamientos cualquier empresa podrá ser igualmente sancionada, según el nuevo RGPD, con una multa por valor del 2% de la facturación.
El nuevo reglamento europeo de protección de datos especifica que nadie está a salvo de un percance. Cualquier ataque lanzado a nivel mundial puede atacar a una pequeña empresa y, si hay una fuga de datos personales, tendrá que responder ante la AEPD y demostrar que su empresa previamente se había adaptado y tomado las medidas de seguridad necesarias para evitar la vulneración de los derechos y libertades de las personas físicas. Y para ello es fundamental contar con la ayuda externa de un proveedor informático cualificado porque la responsabilidad será siempre de la empresa, Responsable de los tratamientos, quien además, en virtud del RGPD debe velar para que el Encargado del tratamiento cumpla igualmente con la normativa.
¿Qué deben tener en cuenta las empresas ante el RGPD?
Más allá de las sanciones que puede acarrear la falta de cumplimiento del RGPD, todavía hay muchas pymes que están haciendo poco o nada ante esta nueva exigencia comunitaria. En esencia el nuevo reglamento de protección de datos endurece el control sobre los datos personales y otorga a cada individuo el derecho a que sean utilizados o no por cualquier entidad, pública o privada, así como la manera en la que se accede a ellos y retirar el acceso.
Sin embargo, muchas otras empresas están buscando ayuda para hacer del RGPD un aspecto diferencial y un valor añadido. Su nueva estrategia pasa por considerar que no hay mejor valor comercial, que conocer en profundidad los datos que les suministran sus clientes presentes y futuros. Ante el nuevo marco legal derivado del reglamento europeo de protección de datos, las empresas deben tener en cuenta los siguientes aspectos:
¿Qué es un dato personal?
Es toda información sobre una persona física identificada o identificable, ya sea un nombre, un DNI, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Implicando diferencias respecto la antigua Ley Orgánica de Protección de Datos (LOPD).
Mayor transparencia
Más transparencia con las personas a cuya información se accede. A partir de ahora, con el nuevo reglamento europeo de protección de datos, las empresas deberán explicar a los usuarios de quien recojan sus datos para qué los están recopilando y demostrar que esos datos sólo están siendo empleados para los fines recabados.
Adiós al consentimiento tácito
Los usuarios, por su parte, tendrán la capacidad de retirar su consentimiento y eliminar la información de los servidores de la empresa. Se acabó el consentimiento tácito. El nuevo reglamento general de protección de datos obliga a muchos más controles para garantizar que, quien cede sus datos, lo hace con pleno conocimiento. A partir de ahora las empresas deben revisar y rehacer el conjunto de contratos y cláusulas.
Las empresas son responsables de su seguridad
Será cada empresa la que determine cuáles son los niveles de riesgo en los que incurre y las medidas que, en su opinión, debe adoptar para garantizar que la información de cualquier persona está correctamente custodiada y es utilizada de forma correcta. Se acabó el café para todos en la seguridad de los datos para todos. Nadie debería preguntase: ¿Qué es el RGPD? Todos seremos responsables.
Proactividad en la comunicación de brechas de seguridad
Actuar de forma proactiva en la comunicación de fallos. Ante una filtración de Datos, el responsable de tratamiento deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos, en un plazo de 72 horas. Este experto tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, en caso de existir algún riesgo para sus derechos.
Aparece la figura del DPO
El RGPD propicia la creación de la nueva figura del Data Protection Officer (DPO) o delegado de protección de datos. Una figura esencial en el nuevo reglamento europeo y que tendrá que identificar todos los posibles riesgos y buscar soluciones para solventarlos. Su presencia es obligatoria para todas las administraciones públicas y en aquellas organizaciones con tratamiento de datos a gran escala y puede ser interno o externo a la compañía.
Nuevos requerimientos para datos de menores
El nuevo reglamento general de protección de datos, considera que el consentimiento parental será requerido para procesar datos de menores de 16 años en servicios online. Los Estados miembros pueden legislar con el fin de rebajar la edad de consentimiento, aunque en ningún país podrá situarse el requerimiento del consentimiento paternal por debajo de los 13 años.
Nuevas certificaciones
El reglamento de protección de datos personales concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas.
Privacy by design & by default
Medidas Tecnológicas para la Privacidad desde el diseño y por defecto. El nuevo reglamento general de protección de datos, establece que todo proyecto, ya sea comercial, de creación de una página web, de desarrollo de entorno tecnológico, etc. debe evaluar desde el inicio de su diseño y por defecto — Privacy by design & by default— los riesgos que pueden comportar para la privacidad de los datos personales que incorporará. Además debe verificar que se han puesto en marcha las medidas necesarias para eliminarlos o mitigarlos y, por último, que en todo momento los tratamientos de datos se ajusten a la normativa de protección de datos en vigor.
Adaptación del RGPD a cada empresa
Debido a todos los cambios respecto a la Ley Orgánica de Protección de Datos (LOPD), la AEPD ha preparado unas guías con instrucciones donde se fijan conceptos, metodología, ejemplos y modelos a seguir, recomendaciones e incluso listados de posibles riesgos de incumplimiento del RGPD y seguridad. No son guías estándar sino que deberá adaptarse a cada empresa con la ayuda de un profesional externo.
12 preguntas frecuentes ante el RGPD
La Agencia Española de Protección de Datos (AEPD) ha elaborado una Q&A de información general sobre el Reglamento General de Protección de Datos (RGPD). Es un documento en formato pregunta-respuesta, orientado a informar tanto a particulares como a los responsables de organizaciones y empresas, con el objetivo de ayudarles con esta nueva normativa que será de obligado cumplimiento a partir del próximo 25 de mayo.
Mostrar
1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?
2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?
3. ¿A qué empresas u organizaciones se aplica?
4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?
5. ¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?
6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?
7. ¿Qué implica la responsabilidad activa recogida en el Reglamento?
8. Entonces, ¿supone una mayor carga de obligaciones para las empresas?
9. ¿Cambia la forma en la que hay que obtener el consentimiento?
10. ¿Deben las empresas revisar sus avisos de privacidad?
11. En qué consiste el sistema de ‘ventanilla única’?
12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?
1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?
No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.
2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?
El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.
En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita.
3. ¿A qué empresas u organizaciones se aplica?
El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.
4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?
Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.
Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.
5. ¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?
El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.
6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?
El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.
En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.
7. ¿Qué implica la responsabilidad activa recogida en el Reglamento?
Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:
– Protección de datos desde el diseño
– Protección de datos por defecto
– Medidas de seguridad
– Mantenimiento de un registro de tratamientos
– Realización de evaluaciones de impacto sobre la protección de datos
– Nombramiento de un delegado de protección de datos
– Notificación de violaciones de la seguridad de los datos
– Promoción de códigos de conducta y esquemas de certificación.
8. Entonces, ¿supone una mayor carga de obligaciones para las empresas?
El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.
En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.
Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.
En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.
Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.
Las Autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, estamos ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.
9. ¿Cambia la forma en la que hay que obtener el consentimiento?
Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.
Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.
Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
10. ¿Deben las empresas revisar sus avisos de privacidad?
Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados pueden dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.
11. En qué consiste el sistema de ‘ventanilla única’?
Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora.
También implica que cada Autoridad de protección de datos europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas.
Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia.
La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.
12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?
No. El Reglamento está en vigor, pero no será aplicable hasta 2018. Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.
Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos.
Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas. Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse.
En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del Reglamento. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. La interpretación de facilitar pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.
La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.
ekon RGPD. Los datos personales de tu ERP, bajo control
El nuevo Reglamento General de Protección de Datos es de obligado cumplimiento en Europa a partir del 25 de mayo de 2018 y está diseñado para dar a los ciudadanos europeos el control sobre cómo se almacenan y utilizan sus datos personales. Es obligatorio para todas las empresas, independientemente de su tamaño o sector y están previstas multas millonariaspor su incumplimiento.
Con el fin de hacer más sencilla la vida a nuestros clientes para el cumplimiento del nuevo reglamento, hemos desarrollado el módulo ekon RGPD, diseñado por expertos, y que ofrece herramientas muy útiles para que los datos personales que gestionas en ekon cumplan con la nueva regulación y que facilita el trabajo del Data Protection Officer (DPO).
Si quieres ver ekon RGPD en acción, ponemos a tu disposición un webinar en el que mostramos cómo funcionan las herramientas de ekon RGPD.
Descargar folleto de ekon RGPD
Descubre cómo mantener los datos personales de tu ERP, siempre bajo control con ekon RGPD. Facilítanos tus datos y conoce cómo ekon RGPD puede ayudarte.
Descubre más
RGPD en nuestro blog
Marzo, abril … RGPD
Publicado por Isidro Velis
El 25 de mayo próximo es la fecha elegida para su entrada en vigor. El nuevo reglamento general de protección de datos (RGPD) debuta para todos los que quieran operar en territorio de la UE. Y muchos aún no han evaluado su impacto. Lo resume PwC en un reciente informe; “a medida que se acerca la fecha límite, más personas en las organizaciones se involucran en los planes internos de adecuación y expresan su preocupación por los importantes escenarios de riesgo que observan“. La buena noticia es que ¡aún hay tiempo!
Los textos jurídicos no acostumbran a ser fáciles de entender, más aún si tienen que ver con un tema tan controvertido, y en el que se regula de forma exhaustiva nada menos que los datos personales de los europeos. Y cuando se modifican radicalmente los actuales sistemas de Información de Identificación Personal (PII)…
Que no te engañen, ¿Qué debes exigir a tu ERP para cumplir con el RGPD?
Publicado por Jordi Solé Beteta
En un ERP pueden existir más de 20.000 campos con datos personales. Estar preparado para el RGPD empieza por identificar cuáles son esos campos.
De acuerdo al RGPD, para tener identificados todos los datos personales, tu ERP debe incluir un indicativo en todos los campos de la base de datos que contienen datos personales o categorías especiales de datos personales, según la definición de dato personal en el nuevo reglamento. E incluir, también, herramientas para el análisis de esta información.
Felicidades, has sobrevivido a la adecuación de tu empresa al RGPD. ¿Y ahora qué?
Publicado por Oscar Lechago
Pues ya ha llegado, el 25 de mayo entró en vigor el mediático nuevo Reglamento General de Protección de Datos. Aunque desde 2016 sabíamos de la existencia de esta nueva normativa, destinada a proteger los datos personales de los consumidores y fomentar una gestión ética de los datos, garantizando así la privacidad, la realidad es que, para la mayoría de las organizaciones el RGPD ha sido un dolor de cabeza.