Hable con nosotros

¿Me multarán si ignoro el GDPR?

10 de noviembre de 2017
,

¿Me multarán si ignoro el GDPR? - Sencillamente, SÍ: es muy probable que no sólo reciba una sanción económica, sino que también podría sufrir graves daños en la reputación y la marca de su empresa. Las disposiciones en materia de responsabilidad, gobernanza y transparencia definidas en el reglamento enfatizan, amplían y elevan los requisitos implícitos de las leyes de protección de datos existentes. En virtud del RGPD, se espera que usted aplique medidas de gobernanza exhaustivas pero proporcionadas. Las mejores prácticas, tales como, las evaluaciones de impacto de privacidad y la privacidad por diseño se convierten en un requisito legal después de que el GDPR se convirtió en ley el 25 de mayo de 2018. Estas medidas están diseñadas para minimizar el riesgo de violaciones y mantener la protección de los datos personales. Esencialmente, esto significa que las organizaciones ahora tienen que implementar más políticas y procedimientos, incluso si ya tienen una buena gobernanza.

¿Qué es el principio de responsabilidad?

El nuevo principio de responsabilidad del apartado 2 del artículo 5 le obliga a demostrar que cumple los principios y establece explícitamente que es su responsabilidad.

¿Cómo puedo demostrar que lo cumplo?

En lugar de preguntarse "¿Me multarán si ignoro el GDPR?", es mucho mejor implementar procesos y prácticas de trabajo que salvaguarden los datos personales de las personas y reduzcan el riesgo de sanciones por incumplimiento. Para demostrar que cumple con el GDPR debe:

  1. Implantar un nivel adecuado de medidas técnicas y organizativas que garanticen y demuestren su cumplimiento. Es probable que esto incluya políticas internas de protección de datos, como la formación del personal, auditorías internas de las actividades de tratamiento y revisiones de las políticas internas de recursos humanos.

  2. Mantener la documentación pertinente sobre las actividades de procesamiento.

  3. En su caso, nombrar un responsable de la protección de datos.

  4. Aplicar medidas que cumplan los principios de protección de datos desde el diseño y de protección de datos por defecto. Las medidas podrían incluir: a) Minimización de datos; b) Pseudonimización; c) Transparencia; d) Permitir a los individuos supervisar el procesamiento; y e) Crear y mejorar las características de seguridad de forma continua.

  5. Utilizar las evaluaciones de impacto de la protección de datos cuando sea necesario.

También puede adoptar y adherirse a un código de conducta aprobado para su industria o sector de mercado. Un código de conducta, redactado por un organismo industrial o una asociación comercial, suele abarcar:

  1. un tratamiento justo y transparente;

  2. intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;

  3. la recogida de datos personales;

  4. la seudonimización de los datos personales;

  5. la información proporcionada a los individuos y el ejercicio de los derechos de los individuos;

  6. la información proporcionada a los niños y su protección (incluidos los mecanismos para obtener el consentimiento de los padres);

  7. medidas técnicas y organizativas, incluida la protección de datos por diseño y por defecto y las medidas de seguridad;

  8. notificación de infracción;

  9. transferencias de datos fuera de la UE; o

  10. procedimientos de resolución de conflictos.

Mantener registros de las actividades de procesamiento

Además de su obligación de proporcionar políticas de privacidad completas, claras y transparentes, si su organización tiene más de 250 empleados, debe mantener registros internos adicionales de sus actividades de tratamiento. Si su organización tiene menos de 250 empleados, debe mantener registros de las actividades relacionadas con el tratamiento de alto riesgo. Esto incluye el tratamiento de datos personales que pueda suponer un riesgo para los derechos y libertades de las personas y el tratamiento de categorías especiales de datos o condenas e infracciones penales.

¿Qué tengo que grabar?

Debe mantener registros de todas las actividades de tratamiento porque se le puede exigir que ponga estos registros a disposición de la autoridad de control pertinente a efectos de una investigación. Debe registrar la siguiente información:

  1. Nombre y datos de su organización y, en su caso, de otros responsables del tratamiento, de su representante en la UE y del responsable de la protección de datos.

  2. Fines del tratamiento.

  3. Descripción de las categorías de individuos y categorías de datos personales.

  4. Categorías de destinatarios de los datos personales.

  5. Detalles de las transferencias a terceros países, incluida la documentación de las salvaguardias del mecanismo de transferencia en vigor.

  6. Horarios de retención.

  7. Descripción de las medidas de seguridad técnicas y organizativas.

No pregunte "¿Me multarán si ignoro el GDPR?"... asegúrese de que su empresa cumple con el GDPR. Contacto con nosotros hoy para obtener asesoramiento experto sobre cómo evitar costosas multas y daños a la reputación.

Entradas relacionadas

11 de noviembre de 2024

La nueva guía australiana sobre privacidad de la IA establece una norma para el uso responsable de la IA

11 de noviembre de 2024

La multa de Corea del Sur a Meta marca una nueva era en la privacidad de datos y la gobernanza de la IA

8 de noviembre de 2024

El futuro de Meta impulsado por la inteligencia artificial pone en juego la privacidad de los usuarios

,