El Reglamento General de Protección de Datos entró en vigor el pasado 25 de mayo de 2016 pero hasta el mismo día en 2018 no comenzará a aplicarse. Hasta entonces, siguen estando vigentes las normas y leyes referidas a la protección de datos en la legislación.
¿A qué empresas u organizaciones afecta?
El nuevo reglamento sobre protección de datos se aplica como hasta en la actualidad, a aquellos responsables o encargados del tratamiento de datos en la Unión Europea, y se amplía a responsables o encargados no establecidos en la UE que traten datos de ciudadanos europeos.
¿Cómo afecta a las empresas este nuevo reglamento en materia de protección de datos?
El reglamento supone mayor compromiso por parte de las organizaciones, públicas y privadas, con la protección de datos, pero no siempre supone una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta al modo en que se realiza en la actualidad.
La principal novedad para las empresas es que deberán realizar un análisis de riesgo de sus tratamientos para determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples con sencillos tratamientos o bien trabajos más consistentes, con tratamientos que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.
Desde entidades comunitarias y nacionales ya se está trabajando para el desarrollo de herramientas que faciliten la identificación y valoración de riesgos, así como en recomendaciones sobre la aplicación de medidas, especialmente en relación con las pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.
¿Deben las empresas revisar sus avisos de privacidad?
Con carácter general, sí. El reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que hasta ahora no son obligatorias.
Las empresas, ¿deben empezar a aplicar ya las medidas contempladas en el reglamento?
No, sin embargo puede ser útil para las organizaciones que tratan datos comenzar a valorar algunas medidas previstas, sin que esas medidas sean contradictorias a las disposiciones de la LOPD, que es la norma vigente que rige el tratamiento y protección de datos en España.
Las empresas pueden empezar con análisis de riesgo de sus tratamientos, planificar o establecer el registro de tratamientos de datos o implantar las evaluaciones de impacto.
Una pronta aplicación de la nueva normativa permitirá detectar dificultades, insuficiencias o errores en una etapa en que las nuevas medidas de protección de datos aún no son obligatorias, y donde la corrección o eficacia de las mismas no están sometidas a supervisión.
