GPDR Legal

Cumplimiento GPDR. ¿A quién afecta?

A instituciones públicas, organizaciones sin ánimo de lucro y todo tipo de empresas que recopilan y analizan datos de ciudadanos residentes en la Unión Europea (UE). Ahora bien, el Reglamento incluye excepciones para las microempresas, las pequeñas y medianas empresas y las organizaciones con menos de 250 empleados. En concreto, estas empresas no estarán obligadas a tener un registro de las actividades del tratamiento de los datos que atesoran.

¿Qué se consideran ‘datos personales’?

Datos personales’ es cualquier información relacionada con una persona identificada o identificable. No hay distinción entre las funciones privadas, públicas o laborales de una persona Los datos personales pueden incluir:

Nombre

Domicilio

Dirección del trabajo

Número de teléfono

Dirección de correo electrónico

DNI o equivalente

Información física, fisiológica o genética

Información médica

Identidad cultural

Número de cuenta bancaria

Número de tarjeta de crédito/débito

Perfiles de redes sociales

Publicaciones en redes sociales

Dirección IP

Ubicación/datos de GPS

Cookies

¿Qué tipo de sanciones conllevará su incumplimiento?

Las organizaciones pueden enfrentarse a multas de hasta 20 millones de euros o el 4% de su volumen de negocio global anual

¿Cómo obtener el consentimiento inequívoco del usuario?

El Reglamento recoge que el consentimiento, con carácter general, debe ser libre, informado, específico e inequívoco. Esto supone que debe existir una declaración del interesado o una acción positiva. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos

El denominado ‘consentimiento tácito’ dejará de ser legal

Cuando se trate de datos “sensibles” no será suficiente con una acción positiva de carácter general, sino que deberá especificarse explícitamente el tipo de tratamiento de los datos que se realizará. Las organizaciones deben ser capaces de demostrar que el usuario ha otorgado su consentimiento y para ello necesitará usar sistemas técnicos verificables

¿Cómo debe ser un aviso de privacidad?

El GDPR obliga a las entidades a informar en sus avisos de privacidad de: la base legal que da cobertura al tratamiento de los datos; el período de retención de los mismos; y los pasos que deben seguir los interesados para realizar cualquier reclamación. La norma exige de forma expresa que la información que se proporcione sea fácil de entender y que se presente en un lenguaje claro y conciso.

Es recomendable –y en ciertos casos obligatorio– que las organizaciones nombren un representante de protección de datos o DPO que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos. Los datos de contacto de ese representante deberán proporcionarse a los interesados.

¿Qué es la responsabilidad proactiva?

Hace referencia a la obligación de las organizaciones de garantizar técnicamente el cumplimiento del GDPR. Engloba varias medidas que toda entidad debe tener en cuenta y que sirven como hoja de ruta para el diseño de un proceso estándar de tratamiento de datos:

Protección de datos desde el diseño Protección de datos por defecto Medidas de seguridad Mantenimiento de un registro de tratamientos Realización de evaluaciones de impacto sobre la protección de datos Nombramiento de un delegado de protección de datos Notificación de violaciones de la seguridad de los datos Promoción de códigos de conducta y esquemas de certificación

 

ABD Consultoría y Soluciones Informáticas , como Partner especializado en soluciones de productividad en la nube de Microsoft, ayuda y asesora a las empresas a implantar soluciones que cumplan con la GPDR. Para ello, los productos y servicios de Microsoft, como Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 y Windows 10 garantizan la detección y evaluación de amenazas de seguridad y el cumplimiento de las obligaciones del GDPR.

 

RECUERDA: El Parlamento Europeo aprobó el GDPR en abril de 2016, pero su aplicación comenzará el 25 de mayo de 2018.

Deja un comentario