El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea entrará en vigor el 28 de mayo de 2018, lo que significa que las empresas deben comenzar a prepararse desde ahora. Este nuevo reglamento tendrá un gran impacto en las empresas del Reino Unido, incluso si abandonamos la Unión Europea, y se incluyen varias disposiciones importantes en la ley. Sin embargo, datos recientes muestran que muchas organizaciones, en todos los sectores, siguen perdiendo datos a diestra y siniestra. Con esto en mente, hemos elaborado una lista rápida de los requisitos clave que la nueva ley impondrá a las organizaciones.

1. Es un reglamento, no una directiva

Esto significa que la ley se aplicará de manera igualitaria en todas las naciones de Europa, lo que debería brindar uniformidad y claridad a las empresas que operan en diferentes países o que buscan expandirse. También significa que las empresas de Estados Unidos que procesan datos de ciudadanos de la Unión Europea deben cumplir con la ley, incluso si no tienen presencia en ningún país europeo.

2. Multas más altas

La multa más grande que una organización puede enfrentar actualmente por parte de la Oficina del Comisionado de Información (ICO, por sus siglas en inglés) del Reino Unido es de £500,000 (aunque nunca ha emitido una sanción tan grande). Sin embargo, bajo el GDPR, estas sanciones aumentarán a €20 millones o hasta el cuatro por ciento de los ingresos anuales globales de una empresa, lo que sea mayor.

3. Las empresas con más de 250 empleados deben emplear a un oficial de protección de datos

La Comisión Europea quiere asegurarse de que las grandes organizaciones que procesan una gran cantidad de datos tengan a alguien que se haga responsable de esa información, y tener un rol de oficial de protección de datos es parte de la nueva ley. Sin embargo, esto solo se aplica a las empresas con más de 250 empleados en un esfuerzo por reducir la carga para las pymes. Las empresas más pequeñas aún pueden necesitar contratar a alguien en este rol si el manejo de datos personales es fundamental para sus operaciones. Esto no necesariamente tiene que ser un empleado a tiempo completo, sino que podría ser “un consultor ad hoc, y por lo tanto, sería mucho menos costoso”.

4. Notificación rápida de violaciones

Un gran cambio es que el GDPR requerirá que las empresas notifiquen a las autoridades de protección de datos, como la ICO en el Reino Unido, cualquier incidente de pérdida de datos lo antes posible, lo que la Comisión Europea sugiere que debería ser dentro de las 24 horas “cuando sea factible”. Con qué frecuencia se cumpla esto será uno de los elementos más interesantes de la nueva ley cuando entre en vigor, y las organizaciones deben tener esto en cuenta, ya que si se convierte en la norma, deberán acostumbrarse a actuar rápidamente ante cualquier incidente.

5. Derecho a mover datos o eliminarlos

El GDPR otorga a los individuos el derecho a mover sus datos o eliminarlos por completo. Esto significa que las empresas deben estar preparadas para cumplir con estas solicitudes de manera oportuna y eficiente.

En resumen, el Reglamento General de Protección de Datos traerá consigo cambios significativos para las empresas en términos de cómo manejan y protegen los datos. Es esencial que las organizaciones comiencen a prepararse ahora para cumplir con los requisitos de esta nueva ley y evitar posibles multas y sanciones. La protección de los datos personales es una responsabilidad que todas las empresas deben tomar en serio.