El Reglamento General de Protección de Datos (RGPD) está considerado como la mayor revolución de la historia en cuanto al almacenamiento de datos de carácter personal.

Sus implicaciones son enormes y es probable que la mayoría de las empresas aún no las entiendan del todo, aunque la legislación entre en vigor el 25 de mayo de 2018.

El RGPD va mucho más allá de las medidas actuales de protección de datos (LOPD en el caso de España) y afecta a las empresas de todos los tamaños, desde empresarios individuales hasta las grandes corporaciones. Según las encuestas llevadas a cabo por Sage, el 52 % de las empresas españolas no conocen bien el RGPD o no han oído hablar de ello. Como cabe esperar, las empresas tienen muchas dudas sobre el RGPD, que van desde cómo debe aplicarse hasta cómo afectará a su día a día.

A continuación te mostramos las respuestas a algunas dudas habituales.

1. ¿Mi empresa tiene que conseguir una “certificación RGPD”?

No. La redacción del Reglamento General de Protección de Datos no especifica ni impone ningún sistema de certificación en , pero sí fomenta la certificación voluntaria ante organismos sectoriales u organizaciones que cumplan la norma EN-ISO/IEC 17065/2012 y que tengan la autorización de las autoridades de control correspondientes, como la Information Commissioner’s Office (ICO) en el Reino Unido o la Agencia Española de Protección de Datos (AEPD) en el caso de España.

Si bien se fomenta la certificación RGPD como garantía de las medidas de seguridad técnicas y organizativas, entre otras cosas, su obtención tiene especial importancia para las terceras empresas que procesan datos en nombre de otros. Para ello, el grupo de trabajo denominado Cloud Select Industry Group (CSIG) tiene un código de conducta que ha sido aprobado por el ICO y el grupo de trabajo del artículo 29 de la UE.

2. ¿Cuál es la fecha límite para el RGPD?

El RGPD entra en vigor el 25 de mayo de 2018. No existe periodo de gracia ni transitorio para las empresas, por lo que tienes que asegurarte de que la tuya esté preparada para entonces.

3. ¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?

En el RGPD no existe obligación de que se realicen auditorías o inspecciones periódicamente, pero las autoridades de control tienen la potestad de llevarlas a cabo dentro de sus competencias de inspección. Sin embargo, esto no significa que las auditorías o inspecciones autoimpuestas no sean aconsejables o incluso un requisito de hecho para el cumplimiento del RGPD.

Para los terceros que ofrecen servicios de tratamiento de datos a otros, la situación es un poco más compleja. Ellos tendrán que poner a disposición de la empresa que los contrata toda la información necesaria que demuestre el cumplimiento de sus obligaciones con arreglo al RGPD. También deberán permitir y colaborar en las auditorías o inspecciones que la empresa contratante les pida.

Aun así, el RGPD introduce nuevos requisitos trascendentes y molestos de llevanza de registros para todas las empresas. No basta con simplemente cumplir el RGPD. Cualquier empresa debe estar en condiciones de demostrar que lo hace.

Cabe resaltar que existe la posibilidad de que los gobiernos dicten procesos formales y periódicos de auditoría cuando apliquen el RGPD en la legislación nacional.

4. Tengo una empresa muy pequeña que gestiono yo solo. ¿Me afecta el RGPD?

Sí. El RGPD afecta a cualquier persona física o jurídica que desarrolle una actividad económica y que procese datos de carácter personal, incluidas entidades como sociedades, instituciones benéficas o clubes. Es indiferente si están reconocidas legalmente o no.

5. ¿Los productos de Sage están preparados para el RGPD?

Sage está trabajando para garantizar que todos sus productos activos estén preparados para el RGPD. De acuerdo con las directrices de Cyber-Essentials en Reino Unido y recomendaciones parecidas de otros países, Sage aconseja a los usuarios que siempre se aseguren de usar las versiones más recientes de los programas de software. En concreto, para ayudar a las empresas a cumplir las obligaciones del RGPD, Sage está trabajando para incluir mejoras adicionales, por lo que los clientes deberían comprobar periódicamente si hay versiones más recientes e instalarlas como consideren conveniente. Los clientes que utilizan productos en la nube se beneficiarán de estar ejecutando siempre las versiones más recientes del software.

6. Ya cumplo la ley vigente de protección de datos. ¿Debo hacer algo?

Probablemente sí. El RGPD deja sin efecto toda la legislación actual de protección de datos de los Estados miembros de la UE (en el caso de España, la LOPD). Los requisitos del RGPD van mucho más allá de la ley vigente de protección de datos, por lo que es muy poco probable que una empresa ya los cumpla.

7. ¿En qué se diferencia el RGPD de la legislación actual de protección de datos?

A decir verdad, las diferencias son tan amplias que es imposible resumirlas en una respuesta rápida. Por ello, Sage ha elaborado “RGPD: Guía rápida de Sage para empresas dónde ofrece una introducción concisa y comprensible.

8. ¿Cuáles son las consecuencias de infringir el RGPD?

Tu empresa podría recibir una sanción de hasta el 4 % de su volumen de negocio anual en todo el mundo o de 20 millones de euros (la que sea de mayor cuantía). Cabe destacar que es posible infringir el RGPD sin que exista pérdida de datos en sí.

9. ¿Cómo afectará el Brexit al RGPD?

El Gobierno británico ha dicho que está aplicando el RGPD en el nuevo proyecto de ley de protección de datos y que continuará en vigor cuando el Brexit tenga lugar en 2019.

10. ¿Cuánto dinero costará a mi empresa el RGPD?

Es probable que para una empresa media acarree algunos o incluso todos los gastos siguientes:

  • Una cuota de registro ante el organismo oficial del país respectivo, que sería pagada por las organizaciones que procesen datos de carácter personal, que dependerá del tamaño y el volumen de negocio y también podrá tener en cuenta la cantidad de datos personales procesados.
  • Auditoría de todos los procesos de todos los departamentos, a ser posible por una persona o empresa cualificada.
  • Modificaciones, como la formación del personal o la adaptación de los sistemas informáticos.
  • Posible designación y formación de un delegado de protección de datos (véase la pregunta 11).
  • Establecimiento y mantenimiento de procesos continuos de documentación que demuestren el cumplimiento del RGPD.
  • Costes de certificación voluntaria, en especial si la empresa procesa datos en nombre de otros (véanse las preguntas 1 y 3, recordando que solo deben usarse organismos de certificación que cumplan la norma EN-ISO/IEC 17065/2012 y que tengan la autorización de las autoridades de control correspondientes, como la ICO en el Reino Unido o la AEDP en España).

11. ¿Tengo que nombrar un delegado de protección de datos?

Las empresas de algunos tipos tendrán que hacerlo. Entre ellas se incluyen los organismos públicos, las que tengan una actividad principal que consista en el seguimiento de personas a gran escala (incluida la elaboración de perfiles) o las quegestionen datos en categorías especiales, como datos médicos o relativos a condenas o infracciones penales.

El delegado de protección de datos podría ser un empleado actual o se podría contratar a alguien de fuera de la empresa, pero tendrás que informar de quiénes son a la autoridad de control y también deberán tener la formación adecuada.

12. Mi empresa no tiene su sede social en la UE. ¿Me afecta?

El RGPD afecta a cualquier empresa de cualquier parte del mundo que procese datos de personas de la UE. De hecho, si ofreces bienes o servicios a personas de la UE o controlas su comportamiento, probablemente deberías tener a un representante en la EU para que gestione las cuestiones relativas al RGPD. Además, debes comunicar por escrito a la autoridad de control quién es. En Internet se encuentran muchos terceros que ya están especializados en cumplir este requisito de representación. Como mínimo, podrás preguntarles si se trata de un requisito para tu empresa.

Antes de la entrada en vigor del RGPD, es difícil prever las consecuencias que tendrá para las empresas situadas fuera de la UE que infrinjan el RGPD, pero podrían incluir la prohibición de hacer negocios en la UE hasta que se demuestre el cumplimiento, lo cual podría llevar tiempo. El efecto podría ser demoledor porque, además de a las ventas, podría afectar a las compras.


AUTOR: Keir Thomas-Bryant

FUENTE: BLOG SAGE @SageSpain

VER + EN: https://blog.sage.es/novedades-legales/preguntas-y-respuestas-rgpd-video/