La nueva normativa europea sobre la protección de datos personales, conocida como RGPD (Reglamento General de Protección de Datos) o GDPR (General Data Protection Regulation) publicada en el Diario Oficial de la Unión Europea entrará en vigor el 25 de mayo de 2018. Para Europa, la adopción de este texto establece un marco legal para la realidad digital, lo que le permite volver a ella en su totalidad.

La tecnología digital no ha sido siempre una prioridad en Europa. En los últimos años, la aprehensión de la protección de los datos personales se ha instalado en la opinión pública tras los diversos casos de espionaje y piratería. Frente a esto, la consideración de nuevos desafíos digitales fue extremadamente tarde. La legislación sobre la protección de datos se contentaba con unas pocas leyes nacionales con grandes disparidades en el tratamiento. Hasta ahora, la ley n ° 78-17 del 6 de enero de 1978 “relativa a la informática y las libertades”, revisada en 2016, regía la legislación sobre informática en Francia.

Una necesidad de enmarcar legalmente el digital

La explosión de los datos recopilados está ahí, se ha vuelto ilusorio intentar medirlos cada día. Nuestro día adía gira en torno a esta digitalización con más servicios accesibles con un simple clic. Los datos personales que tan a menudo comunicamos sobre nosotros tales como nuestro nombre, nuestro correo electrónico, nuestra edad, abundan exponencialmente. Los principales culpables de esta desinhibición son las redes sociales. Y la tendencia no se va a detener, las nuevas tecnologías como el Internet Of Thing (IOT) o Big Data han allanado el camino para la recopilación masiva de datos totalmente automatizada. Por ejemplo, el robo de más de mil millones de direcciones de correos electrónicos de Yahoo en 2013 estableció un nuevo récord.

Principales robos de datos personales estos últimos años en millones de cuentos

La respuesta de Europa, el RGPGD: habilidades y alcance

El GDPR (General Data Protection Regultion) proporciona una respuesta sobre la protección de los datos personales. A través de este texto, Europa empodera a todos los actores digitales. Este texto deroga la Directiva 95/46 del 24 de octubre de 1995, a partir de mayo de 2018. En cuanto a un reglamento, su eficacia es inmediata. El texto define claramente el concepto de datos personales como información personal que identifica directa o indirectamente a una persona física. Los datos físicos, fisiológicos, culturales y sociales de un individuo están directamente relacionados.

El alcance de aplicación del texto es la Unión Europea, el texto se aplica tan pronto como el “establecimiento” de la persona a cargo del procesamiento o el subcontratista lleva a cabo un procesamiento de datos personales de un ciudadano europeo. En cuanto a la noción de establecimiento en el GDPR: “el establecimiento presupone el ejercicio efectivo y real de una actividad por medio de un dispositivo estable. La forma jurídica elegida para tal dicho dispositivo, ya sea una sucursal o una filial que tenga personalidad jurídica, no es decisiva a este respecto.” El texto puede aplicarse fuera de las fronteras de la UE siempre que el controlador esté establecido fuera de la UE, pero sus actividades de procesamiento están vinculadas a “observar el comportamiento de los ciudadanos de la Unión Europea”. El RGPD (Reglamento general de protección de datos) especifica los derechos de los ciudadanos frente a las empresas que procesan sus datos personales.

• El derecho a estar informado,
• El derecho de acceso,
• El derecho a borrar,
• El derecho de rectificación,
• El derecho a restringir el tratamiento,
• El derecho a la portabilidad de datos,
• El derecho a no estar sujeto a la toma de decisiones automatizada, incluidos los establecimientos de perfiles

Existen diferentes medios para conformarse con la legislación futura. Designar un controlador para mapear el procesamiento de datos personales. Priorizar las acciones para poder gestionar mejor los riesgos u organizar los procesos internos para poder informar. Tres ejes se apuntan en esta preparación. Legal con la evaluación de riesgos, el Negocio para el censo de los tratamientos sobre los datos personales recogidos y la Informática para la seguridad de los datos personales.

El texto también establece la creación de un fichero oficial de protección de datos dentro de las compañías. Puede ser un colaborador designado para este rol o un tercero para la empresa contratada. En el sector público es obligatorio, se vuelve obligatorio en el sector privado cuando las actividades de la empresa involucran actividades de procesamiento que, debido a su naturaleza, alcance y / o finalidades, requieren un monitoreo regular de personas afectadas. (Ejemplo: datos sensibles y relativos con ofensas criminales). Con confidencialidad, el deber del delegado es informar a las entidades y actores sobre sus obligaciones con respecto a la protección de datos. Él es también el intermediario con la CNIL. (Comisión Nacional de Informática y Libertades).

La nueva regulación europea aumenta considerablemente las sanciones. Con un límite de 150,000 euros a principios de 2016, la ley sobre la República Digital había revisado la multa máxima a 3.000.000 de euros. El GDPR va más allá y proporciona sanciones de hasta el 4% de la facturación de la compañía con un límite de 20 millones de euros.

A partir de ahora, cada empresa debe prepararse. Sin embargo, nos enfrentamos a un retraso, a día de hoy tan solo ¼ de las empresas en España cumplen con la nueva regulación.

10%

De las empresas tienes planes sólidos para la RGPD

25%

De las empresas serán en conformidad con la RGPD en mayo

HR Path está a su lado

Para facilitar la transición a la nueva legislación, HR Path lo ayuda a cumplir con el RGPD (Reglamento general de protección de datos).

• Desarrollos organizacionales: dedicados a la auditoría , la revisión del procesamiento de datos, la evaluación del plan de cumplimiento, el apoyo para el cambio organizacional, etc.
• Evolución técnica: análisis de SIRH, revisión de DCP, implementación de archivo / eliminación automática, gestión de confidencialidad, anonimización de tratamientos …