Las empresas españolas deberán nombrar un Responsable de Protección de Datos en seis meses

La nueva legislación contempla entre sus medidas más novedosas la obligación de nombrar o contratar a un Responsable de Protección de Datos dentro de las empresas.

Según se desprende de un documento de trabajo elaborado por firma de servicios profesionales Grant Thornton, el nuevo reglamento europeo establece nuevos derechos en materia de protección de datos para las personas y refuerza las protecciones actuales, aplicando requisitos más estrictos a los procedimientos en que las empresas utilizan los datos de carácter personal.

De hecho, la génesis de esta nueva legislación se encuentra en el volumen y creación de datos que suscita la proliferación del uso de Internet, las redes sociales, el cloud computing o la geolocalización, entre otras actividades habituales para cualquier ciudadano o empresa en la actualidad.

Según el socio de Innovación y Tecnología de Grant Thornton, Luis Pastor, "el nuevo reglamento nace teniendo en cuenta las exigencias de tecnología digital en el que operan las compañías, que les exige reforzar sus políticas de ciberseguridad aplicada a datos personales de todos los individuos con los que interactúan, ya sean empleados o clientes".

Grant Thornton recuerda que, aprovechando la obligatoriedad de la norma, al mismo tiempo en España se ha impulsado el Anteproyecto de Ley Orgánica (que sustituye a la actual Ley Orgánica de Protección de Datos de 1999) para facilitar la adaptación de la legislación nacional al RGPD europeo, que deberá ser aprobada antes de la entrada en vigor de esta nueva normativa europea.

La firma añade que, a pocos meses de la entrada en vigor del Reglamento, el conocimiento de las medidas que las compañías han de poner en marcha no es muy elevado, a pesar de que si no se hace pueden enfrentarse a fuertes sanciones contempladas en la nueva legislación, que pueden ascender en los casos de carencias operativas más graves a multas de hasta 20 millones de euros o el 4% de la facturación global anual.

Entre otras medidas, el RGPD introduce cambios en la gestión de los datos de particulares por parte de las empresas, como por ejemplo el derecho a oponerse por parte de los clientes a ciertos tipos de elaboración de perfiles; las evaluaciones de impacto relativas a la Protección de Datos (EIPD) que serán de carácter obligatorio; la notificación de las infracciones importantes a la autoridad responsable en un plazo de 72 horas.

Según Pastor, "para cumplir con el RGPD las empresas y organizaciones deben comprender los principales cambios que supone frente a la legislación actual, evaluar la política de protección de datos actual de sus organizaciones, identificar los posibles riesgos y comprobar el grado de preparación de su empresa para adaptarse a los nuevos requisitos.

Tras estos pasos debería establecerse una hoja de ruta de implantación, en la que una figura importante es el nombramiento de un asesor de confianza que evalúe el proceso de implantación".