En mayo de 2016 entró en vigor el nuevo Reglamento Europeo de Protección de Datos y desde entonces comenzó un plazo de dos años para que las organizaciones tomaran las medidas necesarias para adoptarlo, antes de que se incorpore definitivamente a la legislación española.

Todavía gran parte de las empresas españolas siguen manejando y almacenando datos personales de clientes y usuarios sin respetar la LOPD. A riesgo de ser sancionadas con hasta 20 millones de euros por incumplimiento de la normativa y suponiendo además una merma para los ciudadanos en el control sobre su información privada.

Ignorar la ley, no incluir datos identificativos básicos en la web o incluso copiar bases de datos de otras empresas son algunos de los errores que más comenten las empresas con la normativa de protección de datos, pero hay muchos mas que se desconocen.

Dicho reglamento entrara en vigor a partir del 25 de mayo del 2018 y aun queda mucho trabajo por hacer. Algunas de las claves para adaptarse a esta nueva situación podemos encontrarlas en los siguientes puntos:

• Acredita el cumplimiento mediante un Sistema de Gestión de Seguridad. Para garantizar el cumplimiento continuo de los requisitos del nuevo reglamento es recomendable adoptar un sistema de gestión, con sus prácticas y controles durante todo el proceso del tratamiento de datos. Así podrás acreditar que se están haciendo las cosas como marca el reglamento.
• Considera la privacidad de forma previa a cualquier tratamiento de datos. Incorpora la protección de datos como un elemento más de tu cultura empresarial.
• Consulta a la autoridad de control si el impacto es alto. En el caso que la evaluación del impacto entrañe un alto riesgo, deberás consultar a la Agencia de Protección de Datos en el caso español.
• Incorpora nuevos perfiles como el Delegado de Protección de Datos o DPO.  Tiene más autonomía e independencia que el responsable de privacidad y velará por el cumplimiento de la ley en tu empresa.
• Conoce la obligación de notificar incidencias. Con la nueva normativa europea, todas las compañías están obligadas a avisar a la autoridad competente cuando sufran un incidente de seguridad que afecte a la privacidad de los datos, en un plazo de 72 horas; y si es incidente es grave, será incluso notificárselo a los usuarios afectados.
• Incorpora medidas de seguridad como la seudonimización y el cifrado. El reglamento menciona estos mecanismos de seguridad para garantizar la confidencialidad, disponibilidad e integridad de los datos, así como la capacidad de tu sistema de soportar datos y recuperarse ante incidentes.
• Confirma la garantía de tus proveedores de tecnología. Las autoridades comprobarán en sus auditorías si has tenido en cuenta la privacidad y protección de datos en la selección de proveedores. Deberás contar con software de cifrado y con una serie de utilidades y de herramientas que te permitan desarrollar ese marco de gestión.
• Las empresas internacionales tendrán responsable visible en Europa. La ley es de aplicación no sólo para empresas europeas, sino para toda aquella que gestione datos de usuarios residentes en Europa, por lo que toda empresa internacional deberá contar con un responsable visible en Europa.

Si tienes dudas, desde Tributary Assistance Experts te ayudamos a implantar estas novedades.