Más de la mitad de las empresas afectadas por el GDPR no cumplirá plenamente con sus requisitos

  • Seguridad

Los analistas de Gartner identifican cinco acciones de alta prioridad para los controladores y procesadores de datos dentro y fuera de la Unión Europea con el fin de que puedan ajustarse a la nueva normativa.

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) tendrá un impacto global cuando entre en vigor el 25 de mayo de 2018. Ahora bien, según Gartner, incluso a finales de 2018, todavía más del 50% de las empresas afectadas por él no cumplirá plenamente con sus requisitos.

¿Interesado en la GDPR? Puedes ver en este enlace el webinar en el que se analizan todos los pormenores de la nueva normativa. Además, puedes encontrar toda la información sobre qué es y que supone la nueva normativa de protección de datos en este enlace. 

Según explica Bart Willemsen, director de investigación de la consultora, “el GDPR afectará no sólo a las organizaciones de la UE, sino también a muchos controladores de datos y procesadores fuera de la UE. Las amenazas de fuertes multas, así como la posición cada vez más potenciada de las personas físicas individuales, impulsarán su cumplimiento y harán que los tomadores de decisiones reevalúen las medidas para procesar con seguridad los datos personales”, afirma.

Más sobre GDPR...

GDPR: ¿dónde están los datos a proteger? (Webinar) 

Tres mejores prácticas para reducir los riesgos del incumplimiento normativo

Ideas para cumplir con GDPR

Descubre la información para cumplir con GDPR

El coste de incumplir el gobierno de la información

El GDPR sustituye a la Directiva 95/46/CE relativa a la protección de datos y está concebido para apoyar el mercado único, armonizar las leyes de privacidad de datos en toda Europa, proteger y potenciar la privacidad de los datos de los ciudadanos de la Unión Europea y reformar la forma en que las organizaciones abordan la privacidad de los datos para los ciudadanos de la UE dondequiera que trabajen en el mundo.

Gartner, por tanto, recomienda que las organizaciones actúen ahora para asegurarse de que están en conformidad cuando la regulación cuando entre en vigencia. En concreto, deben centrarse en cinco cambios de alta prioridad para ayudarlos a ponerse al día con los requisitos del GDPR.

1. Determinar el papel. Cualquier organización que decida por qué y cómo se procesan los datos personales es esencialmente un “controlador de datos”. Por lo tanto, el GDPR se aplica no sólo a las empresas de la Unión Europea, sino también a todas las organizaciones fuera de la UE que tratan datos personales para la oferta de bienes y servicios a la UE o supervisan el comportamiento de los sujetos de la UE. Estas organizaciones deberían nombrar a un representante para que actúe como punto de contacto de la autoridad de protección de datos y de los interesados.

2. Designar un responsable de protección de datos (DPO). Muchas organizaciones están obligadas a crear este puesto, algo especialmente importante cuando la organización es un organismo público, se están procesando operaciones que requieren monitorización regular y sistemática, o se tienen actividades de procesamiento a gran escala.

3. Demostrar la responsabilidad en todas las actividades de procesamiento. Muy pocas organizaciones han identificado cada uno de los procesos en los que están involucrados los datos personales. En el futuro, la limitación del propósito, la calidad de los datos y la relevancia de éstos deben decidirse al iniciar una nueva actividad de procesamiento, ya que esto ayudará a mantener el cumplimiento en futuras actividades de procesamiento de datos personales. Las organizaciones deben demostrar una postura responsable en todas las decisiones relacionadas con las actividades de procesamiento de datos personales.

4. Comprobar los flujos de datos transfronterizos. Todavía se permiten las transferencias de datos a cualquiera de los 28 Estados miembros de la UE, así como a Noruega, Liechtenstein e Islandia. Las transferencias a cualquiera de los otros once países de la Comisión Europea (CE) que se considere que tienen un grado de protección “adecuado” también son posibles. Fuera de estas áreas, se deben utilizar salvaguardias apropiadas como las cláusulas contractuales estándar.

5. Prepararse para que los sujetos de datos ejerzan sus derechos. Los sujetos de los datos tienen derechos ampliados según el GDPR. Esto incluye el derecho al olvido, la portabilidad de datos y el ser informados, por ejemplo, en caso de una violación de datos. Si una empresa aún no está preparada para manejar adecuadamente los incidentes de violación de datos, ahora es el momento de comenzar a implementar controles adicionales.