Efectivo desde el pasado 26 de abril, el Reglamento General de Protección de Datos (GDPR), para los países de la Unión Europea, inaugura un nuevo terreno de juego para el segmento empresarial en materia de protección de datos e implica un cambio en la gestión de los mismos. Con una moratoria de cumplimiento que finalizará el 25 de mayo de 2018, la normativa supone la mayor sacudida legislativa a la gestión de la privacidad de los datos en el entorno de las empresas que operan en la UE. Y, según los principales actores tecnológicos, hay un completo desconocimiento en torno a esta nueva normativa.
Se trata de un Reglamento vinculante para todas las empresas que operan en la Unión Europea y que unifica todas las legislaciones diferentes que había en cada país. “Incluso es de obligado cumplimiento para aquellas empresas que aunque no tengan presencia física en la Unión Europea si tienen actividad en ella”, remarcó Pablo Fernández, investigador jurídico de Abanlex. En España convivirá con la LOPD pero en caso de conflicto entre ambas será el Reglamento europeo el que rija.
El GDPR introduce la obligatoriedad de que las empresas que sufran un ataque y vean sus datos afectados, deberán notificarlo a la autoridad correspondiente (en este caso la Agencia de Protección de Datos) y en algunos casos hacerlo público a través de los medios. Una “obligatoriedad” que tiene sus excepciones. “Si las empresas, por ejemplo, no tienen cifrados sus datos pero cuentan con los medios suficientes para comunicar la brecha a todos sus clientes o la Agencia no lo considera necesario, se evita publicitarlo”, explica Fernández.
El Reglamento impone sanciones en el caso del incumplimiento de la ley que pueden alcanzar los 4 millones de euros. “En España, sin embargo, la cantidad máxima será de 600.000 euros”, puntualiza el investigador. “Incluso cabe la posibilidad de que si el efecto de la brecha no ha sido muy relevante, es posible amonestar a la empresa”. Incluso que la empresa cuente con soluciones de protección o de cifrado puede suponer una reducción en la sanción o incluso que esta se convierta en amonestación. “En España no se suelen imponer sanciones y, si se imponen, su cuantía no es alta”, reconoce. “Y tampoco son muy habituales las inspecciones”. En caso de conflicto entre la empresa y la Agencia de Protección de datos, la primera puede acudir a la Audiencia Nacional en caso de no estar de acuerdo con la sanción.
El Reglamento instaura la figura del DPO (Delegado de Protección de Datos) que será el encargado de velar por el cumplimiento de la ley en la empresa. Una figura que será obligatoria en las instituciones públicas, las empresas que manejen datos biométricos, las que gestionen grandes cantidades de datos personales y aquellas que manejan datos sensibles.
Y la NIS
No es la única ley que se ha dictado en los últimos meses. La NIS es la directiva sobre seguridad de redes y sistemas de información que deberá materializarse en todos y cada uno de los países de la Unión Europea antes del 10 de mayo de 2018. La directiva exige que las empresas que manejen infraestructuras criticas del Estado (eléctricas, telcos, etc.) deberán notificar las brechas de seguridad aunque no afecten a los datos personales.
