De todos es conocido que desde el 25 de mayo de 2018 está en vigor el nuevo Reglamento (UE) 2016/679 (RGPD) que cambia de forma sustancial los criterios de protección de los datos de los ciudadanos europeos. Este reglamento se aprobó en 2016 pero se otorgó un plazo de 2 años para ejecutarlo y que las empresas se pusieran al día.
Para las pymes que todavía no lo hayan implantado, es importante destacar qué cambia en la práctica con ella:
- Territorio de aplicación: la nueva normativa no solo se aplica en las fronteras de la UE, sino que se aplica más allá cuando la oferta de productos y servicios se ofrezca a ciudadanos que pertenezcan al territorio continental.
- Avisos de seguridad: las empresas tendrán que tener una base legal del tratamiento de datos especificada, mostrar los tiempos de retención de dichos datos así como proporcionar la información obligatoria de forma clara y sencilla.
- Consentimiento del usuario: solo se podrán solicitar los datos exclusivamente necesarios para prestar el servicio y/o producto.
- Derecho al olvido: el consumidor podrá solicitar la eliminación de sus datos en determinadas circunstancias.
- Derecho a la portabilidad: la empresa que gestione los datos de una determinada persona deberá enviarlos, previa petición del usuario, en los formatos adecuados para pasarlos a otro proveedor.
- Registro obligatorio de datos: las empresas que trabajen con datos de personas deben llevar un registro con todos ellos.
- Estudio de los riesgos previos a modificaciones: la nueva ley establece que cuando se vaya a realizar una modificación sustancial, ya sea en el soporte, almacenaje o cualquier otro aspecto, hay que hacer un estudio de riesgos y viabilidad para evitar que estos puedan ser expuestos y tomar las medidas necesarias.
- Delegado de protección de datos: todas las empresas que utilicen bases de datos de organismos públicos o se dediquen al tratamiento de datos masivo, están obligadas a nombrar esta figura que será la responsable de la supervisión de las prácticas habituales para que se ajusten a la normativa actual.
Tanto las empresas, autónomos, profesionales, entes públicos, como cualquiera que por su actividad realice tratamiento de datos, están obligados a cumplir este reglamento.
Cabe resaltar que el régimen sancionador establecido a la nueva norma es muy duro, y prevé multas que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen global de negocio en función de su gravedad.
Para poder protegernos debidamente ante estas sanciones, la opción más recomendable es contar con una póliza de Riesgos Cibernéticos, que además de protegernos ante el riesgo de vulneración de los datos, es una herramienta de lo más eficaz para responder ante la mayoría de incidentes cibernéticos que podamos sufrir, tales como la extorsión cibernética, responsabilidad en materia de seguridad en la red, responsabilidad por actividades en medios, pérdidas de activos de datos y pérdida de beneficios.
En Suárez Consultores, como correduría y consultoría especializada en el aseguramiento del riesgo industrial, intermediamos y asesoramos a nuestros clientes en este tipo de pólizas.
En caso de estar Uds. interesados, no duden en contactarnos y estaremos encantados de atender sus dudas y consultas.
Muy atentamente.
Dpto. Riesgos Industriales