Sanciones millonarias a las empresas que no protejan datos de clientes
Garantizará el derecho a que la información cedida sea borrada Asegurará que pueda traspasar su historial a otro proveedor
El 5 de mayo de 2018 es la fecha prevista para que los 28 países de la UE traspongan el reglamento comunitario que garantizará la protección de los datos personales. La norma fija sanciones ejemplarizantes para aquellas que no cumplan con la ley, que pueden alcanzar hasta el 4% del volumen de negocio o los 20 millones de euros.
¿Están preparadas las empresas españolas para adaptarse a esa nueva norma? Rodrigo González, senior manager de EY Abogados, considera que no están preparadas ni concienciadas del impacto que puede tener no cumplir. “Habrá cuatro o cinco multinacionales que van a pagar el pato con sanciones ejemplarizantes”, dijo durante una jornada sobre el nuevo reglamento comunitario.
Tendrán un plazo máximo de 72 horas para notificar violaciones de seguridad a los supervisores
Dos de las principales novedades son dos nuevos derechos para los consumidores: al olvido y a la portabilidad. El primero garantiza a las personas que cedieron sus datos a un tercero el derecho a pedir que los borren sin demora. Algunos países, como Francia fueron más allá y extendieron la aplicación de esa medida a todo el mundo y no solo a la UE , lo que provocó el recurso de la la multinacional Google. “Más de la mitad de las solicitudes de derecho al olvido se están rechazando porque prevalece la libertad de información”, señala González.
En el caso de la portabilidad, el nuevo texto fijará que las personas que hayan cedido datos a un tercero podrán reclamarle que los transfiera al propio usuario o a otro proveedor. En la actualidad las empresas sí están obligadas a garantizar los derechos de acceso, rectificación, cancelación y oposición a los datos, pero no el de la portabilidad. Eso significa que tendrán que disponer de las infraestructuras necesarias para garantizar ese flujo. Y lo tendrán que hacer en un lenguaje y en un formato accesible a particulares y compañías. En una encuesta realizada por EY a finales de 2016, el 98% de los encuestados mostraba su preocupación por esa inversión y solo el 61% reconocía haber comenzado a adaptarse a los nuevos requisitos.
Entre ellos también destaca que las empresas que procesen grandes volúmenes de datos o especialmente sensibles deberán disponer de un delegado de protección de datos, tendrán que realizar evaluaciones del impacto y dispondrán de 72 horas para notificar a los supervisores posibles violaciones de seguridad.