El 25 de mayo del próximo año se pondrá en marcha el nuevo reglamento de la UE consagrando la nueva ley de protección de datos o LOPD.
Entrará en vigor el Reglamento general de protección de datos de la Unión Europea (RGPD). Para aquellos que aún no saben muy bien de qué estamos hablando, tal vez valdría la pena comprobar que las empresas en las que trabajan están listas para lo que está por venir.
A diferencia de gran parte de la legislación que emerge de Bruselas, el RGPD es un reglamento y no una directiva. Esto significa que se convierte en ley en todos los países de la UE al mismo tiempo; una directiva, por el contrario, permite que cada país decida cómo incorporar sus propios requisitos.
El objetivo del nuevo Reglamento es reforzar la protección de datos para todos los individuos dentro de la Unión Europea. También cubre la exportación de datos personales fuera de la Unión. Otros objetivos perseguidos son permitir a los residentes de la UE el control de sus datos personales y simplificar el entorno de los negocios internacionales mediante la unificación de la regulación, de modo que en vez de tener que lidiar con una serie de cuestiones de protección de datos en diferentes jurisdicciones, obtendremos un «pasaporte» para toda la región.
Dado que el uso, abuso y explotación de datos personales se ha convertido en el negocio principal de Internet, el RGPD amplía la ley de protección de datos de la UE a todas las empresas extranjeras que procesan datos de sus residentes. Por lo tanto, incluso si una empresa no tiene instalaciones o presencia dentro de la UE pero sí procesa datos de la Unión estará obligado a cumplir el reglamento. Las sanciones por incumplimiento o infracción pueden llegar hasta 20 millones de euros y/o un 4% de la facturación global.
El Reglamento se aplica tanto a «controladores» de datos (que determinan cómo y por qué se procesan los datos personales) como a «procesadores» (que manejan los datos en nombre del controlador). Las obligaciones de los controladores son, en líneas generales, similares a las impuestas por la LOPD pero los procesadores están obligados a mantener registros de datos personales y actividades de procesamiento, reportando cualquier incumplimiento dentro de 72 horas.
El RGPD establece también conceptos online, como la dirección IP de un dispositivo, que ya puede considerarse como datos personales. Así pues, el próximo año, una amplia gama de identificadores que hasta ahora se habían quedado fuera de la ley serán considerados como datos personales, reflejando cambios en la tecnología y en la forma en que las empresas recopilan información sobre las personas físicas.
Los ciudadanos tendrán nuevos derechos sobre el uso de su información personal. Por ejemplo, podrán impugnar y combatir las decisiones que se han tomado sobre ellos mediante algoritmos que procesan sus datos. El consentimiento válido tiene que ser obtenido explícitamente para cualquier información recopilada. Para los datos de niños, el consentimiento debe ser dado por los padres o tutores y los controladores de datos serán quienes lo comprobarán.
Los ciudadanos tendrán derecho a solicitar la supresión de información personal relacionada con ellos, y las compañías tendrán que ser capaces de probar que los datos han sido borrados correctamente (lo cual puede ser más difícil de lo que parece).
Para empresas que hasta ahora han operado fuera del alcance de la ley de protección de datos, como vendedores de bases de datos, rastreadores o empresas de subastas, entre otras, el reglamento puede representar una amenaza existencial.
En DCD garantizamos el cumplimiento de la LOPD y la seguridad de los datos aportando tranquilidad a todos nuestros clientes.