El Reglamento General de Protección de Datos(RGPD) entrará en vigor el 25 de mayo y revisará por completo la forma en que las empresas procesan y manejan los datos y dará a las personas un mayor control sobre quién recoge y procesa sus datos, para qué se utilizan y cómo se protegen.
A pesar de que el plazo de mayo está cada vez más cerca, todavía hay una serie de mitos en torno al RGPD que es necesario disipar.
Los principales mitos del GDPR
Mito 1: Todas las empresas deben nombrar un DPO
Esto es falso. Solo algunas organizaciones tendrán que nombrar a un responsable de la protección de datos (RPD ) en virtud del RGPD.
Debe designar un DPO si:
- usted es una autoridad pública
- sus actividades principales requieren un seguimiento a gran escala, regular y sistemático de las personas
- sus actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas e infracciones penales
El DPO debe ser un experto en el GDPR y en las prácticas de privacidad, ya que es responsable de la supervisión y la presentación de informes sobre el cumplimiento del GDPR.
Se espera que los RPD ayuden a orientar a los responsables del tratamiento y a los encargados del tratamiento auditando el cumplimiento interno y sugiriendo recomendaciones correctivas adecuadas cuando sea necesario. También se espera que los RPD actúen de forma independiente dentro de la organización.
Mito 2: El RGPD sólo afecta a las empresas europeas
Esto es falso. Aunque el GDPR es un reglamento europeo, tiene implicaciones más amplias. No importa en qué parte del mundo se encuentre, si su empresa tiene sede fuera de la UE pero realiza transacciones comerciales con una persona con sede en Europa, el RGPD se aplicará.
Del mismo modo, si una empresa tiene su sede fuera de la UE pero tiene operaciones europeas, también debe cumplirlo. El RGPD se refiere a los datos personales y a la localidad de la persona cuando se recogen sus datos. Esto es lo que determina la aplicabilidad del reglamento.
Mito 3: El GDPR no se aplicará al Reino Unido debido al Brexit
Esto es falso. El RGPD seguirá aplicándose después del Brexit. El GDPR está diseñado para regular cómo las organizaciones procesan y controlan los datos personales de los ciudadanos de la UE, independientemente de dónde se encuentren. El Reino Unido no abandonará la Unión Europea hasta abril de 2019, por lo que la legislación europea seguirá aplicándose en el Reino Unido.
Mito 4: Las multas son la mayor amenaza para su empresa
Esto es falso. Aunque las organizaciones que incumplen el GDPR pueden enfrentarse a multas de hasta el 4% de la facturación global anual o 20 millones de euros, hay una serie de otros problemas a los que se enfrentan las empresas que no cumplen.
El RGPD exige que las organizaciones comuniquen cualquier violación de los datos personales a la autoridad de control pertinente en un plazo de 72 horas desde su detección. Si la violación supone un alto riesgo de afectar a los derechos y libertades de una persona, también debe notificarse a la persona con efecto inmediato.
Esta incertidumbre y la pérdida de datos podrían dar lugar a que los clientes se vayan y se cambien a la competencia. La pérdida de confianza de los consumidores podría, a su vez, dañar la reputación de una empresa y provocar una pérdida de ingresos.
Mito 5: El consentimiento es la única forma de tratar los datos
Esto es falso. Un gran número de organizaciones suponen que el consentimiento es la única base jurídica para el tratamiento de datos personales. El consentimiento es sólo uno de los seis fines legítimos que se requieren para todo tratamiento de datos personales.
Según el RGPD, el "tratamiento legal" sólo es posible cuando:
- Existe el consentimiento del interesado
- El tratamiento es necesario para la ejecución de un contrato con el interesado
- El tratamiento es necesario para cumplir una obligación legal
- El tratamiento es necesario para proteger los intereses vitales de un interesado o de otra persona
- El tratamiento es necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento
- El tratamiento es necesario a efectos de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo que prevalezcan los intereses, derechos o libertades del interesado
Si no está seguro de si su empresa está en el camino correcto hacia el cumplimiento del GDPR, póngase en contacto con nosotros para saber cómo podemos ayudarle. MetaPrivacy ha sido diseñado específicamente para proporcionar el enfoque de mejores prácticas para el cumplimiento de la privacidad de los datos.