El Reglamento General de Protección de Datos (de las siglas GDPR, General Data Protección Regulation) nace con la intención de armonizar el conjunto de leyes de los estados miembro de la UE para defender los derechos y libertades de los ciudadanos europeos respecto al uso de sus datos personales. Toda empresa que ofrezca bienes y servicios en los países miembro de Europa, se encuentra legalmente obligada a dar cumplimiento al Reglamento General de Protección de Datos. En España, este Reglamento queda complementado por la “nueva” Ley Orgánica de Protección de Datos. Tanto el RGPD como la “nueva” LOPD entrarán en vigor el 25 de mayo de 2018.
Las características más relevantes del nuevo Reglamento son:
Carácter sancionador
¿Puede la organización soportar una sanción grave? Una sanción grave puede suponer el 4% de la facturación global anual o 20.000.000€, (el que más alto).
Privacidad por Defecto
¿Puede la organización y sus sistemas IT garantizar que la confidencialidad de los datos personales y el conjunto de medidas y requerimientos asociados se identifican y aplican para todos los proyectos durante el ciclo de vida de los mismos, comenzando desde la fase inicial de diseño?
Obligatoriedad del Análisis de Riesgos
¿Se realiza un análisis de riesgos para asegurar que se aplicarán las medidas de protección adecuadas para cumplir la ley?
Responsabilidad activa
La organización deberá ser capaz de demostrar que sus procesos organizativos, jurídicos y tecnológicos dan cumplimiento a la GDPR cuando la agencia de protección de datos pertinente lo requiera. Por ejemplo, a raíz de una denuncia de cualquier ciudadano europeo.
Derechos de los interesados
¿Está la organización y sus sistemas IT preparada para garantizar los derechos de los interesados respecto el derecho de acceso, olvido, limitación de tratamiento y portabilidad?
Notificación en menos de 72h
¿Está la organización y sus sistemas IT preparado para detectar brechas y fugas de datos, debidos a ataques tanto internos como externos? ¿Está la organización preparada para notificar en menos de 72h una brecha de datos personales a la Agencia pertinente y a los ciudadanos afectados?
Marsh Risk Consulting define marco de cumplimiento y adaptación a la GDPR basado en un sistema de mejora continua a partir del Análisis de Riesgos. Dicho análisis de riesgos tendrá mayor o menor complejidad dependiendo tanto de la actividad de negocio de la organización, como de la propia Actividad de Tratamiento1 a considerar. Por otro lado, el cumplimiento legal dotará a la organización de una estructura mínima de privacidad para proteger los derechos y libertades de los interesados en las actividades de tratamiento de datos que realiza.
1Conjunto de operaciones, procesos o procedimientos, automatizados o manuales, que conlleve la recogida, consulta, grabación, modificación, cesión o destrucción de datos de carácter personal.
Jordi Abad Mach
Ejecutivo Desarrollo Negocio de Marsh
jordi.abadmach@marsh.com