Inicio

Blog

No todo el contenido está disponible en español.

Antes de realizar una transferencia internacional de datos, las organizaciones deben revisar minuciosamente el RGPD ya que no sólo deben cumplir con lo establecido en el Capítulo 5 sino también con otros requisitos del Reglamento (Artículo 44). Además, para transferir datos personales fuera de la UE, las organizaciones deben seguir el enfoque por etapas del Comité Europeo de Protección de Datos.

El Espacio Económico Europeo (EEE) reúne a los Estados miembros de la Unión Europea (UE) y a los países de la Asociación Europea de Libre Comercio (AELC), excepto Suiza. El EEE ha incorporado el RGPD al Acuerdo sobre el Espacio Económico Europeo a través de una decisión del Comité Mixto del EEE con fecha 6 de julio de 2018, que entró en vigor el 20 de julio de 2018.

El RGPD establece varios derechos y obligaciones para las organizaciones que requieren soporte de software. El proveedor de software deberá decidir cómo interpretar el Reglamento y cuándo es necesario contar con un software de cumplimiento del RGPD o realizar un registro de tratamiento de datos. Dada la imprecisión de muchos conceptos del RGPD, los proveedores realizarán diferentes interpretaciones del mismo y esto puede tener distintos efectos en el software.

Cuando se habla del RGPD, lo que más llama la atención son las multas. En verdad, el 4% del volumen de negocios total anual es ciertamente alarmante —y “el miedo, la incertidumbre y la duda” venden. Pero si pensamos cuál es el principal riesgo de no cumplir con la nueva regulación de privacidad, la respuesta lógica es: su reputación. Entonces, ¿qué medidas puede tomar para proteger la reputación de su organización con respecto a la protección de datos personales?
 

En el mundo digital de hoy, la mayoría de las empresas y organizaciones deben realizar transferencias internacionales de datos. En este sentido, el RGPD ha adoptado un enfoque equilibrado entre la necesidad de contar con flujos transfronterizos de datos personales para el comercio internacional y el nivel de protección de las personas físicas.

Para proteger los derechos de los interesados es fundamental designar a un responsable y a un encargado del tratamiento ya que estas personas o grupo de personas están a cargo de las actividades de tratamiento en las diferentes etapas de la gestión de datos. Teniendo en cuenta la complejidad de las estructuras de negocio que hay en la actualidad, es fácil confundir las obligaciones jurídicas de estos dos roles. A simple vista, las funciones del responsable y del encargado parecen similares.

Si bien han pasado casi dos meses desde que el RGPD entró en vigor en la UE, todavía hay organizaciones que no han comenzado a trabajar en pos del cumplimiento de la nueva ley. En su mayoría, se trata de pequeñas y medianas empresas (pymes) que se creen inmunes al Reglamento y a las multas impuestas por las violaciones de la seguridad de los datos personales aunque, por supuesto, no lo son.

Recientemente escribí un post (ver aquí) sobre la violación de la seguridad de datos personales y a quién se debe notificar en cada caso, centrándome en la figura de la “autoridad de control principal” (ACP). En este post, me referiré al contenido de dicha notificación según lo que establece el RGPD.

Con el creciente impacto de la tecnología en nuestras vidas, la implementación de políticas de protección de datos ha cobrado relevancia. Muchas empresas ya han establecido un marco dentro de su organización para desarrollar lo que podríamos denominar una “cultura de protección de datos”. Para ello, una de las mejores tácticas es el nombramiento de un Delegado de Protección de Datos (DPD).

El 25 de mayo entra en vigor el Reglamento General de Protección de Datos (RGPD). El paquete legislativo viene en reemplazo de la Directiva 95/46 e impone una nueva regulación europea de protección de datos personales. Entre otras cosas, el RGPD establece duras sanciones para quienes no cumplan con las nuevas disposiciones.

En primer lugar, las autoridades de control tendrán una amplia gama de instrumentos para la ejecución del Reglamento y podrán ejercer poderes de investigación, correctivos, sancionadores, de autorización y consultivos.

Páginas