El Reglamento General de Protección de Datos (RGPD) es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos.
GDPR
Si bien la normativa no es reciente (aplicable desde mayo de 2018), durante los últimos años se ha producido un volumen muy significativo de reclamaciones de usuarios frente a las diferentes Agencias, lo cual ha supuesto que se haya multiplicado tanto el número de sanciones como el importe total de las mismas en términos agregados. En España, por ejemplo, en los últimos años se ha incrementado en un 380% el número de sanciones impuestas por la Agencia Española de protección de datos y en más de un 600% el importe de las mismas respecto del año anterior, habiéndose aplicado multas de hasta 6.000.000 de Euros.
La adecuación a la normativa GDPR requiere de actuaciones en diferentes ámbitos de las entidades:
- Organizativos: necesidad de establecer la Oficina de privacidad, adecuando su ubicación, funciones y dimensionamiento y estableciendo el modelo de relación con el resto de ámbitos, así como desarrollando el gobierno y políticas de privacidad.
- Procesos: asegurando el registro y mantenimiento de tratamientos de la entidad y poniendo marcha procesos que den respuesta a la gestión de derechos y consentimientos de los interesados, que permitan implantar medidas de diseño de privacidad by design y by default y que aseguren las transferencias internacionales de datos.
- Control: siendo necesario implantar un modelo de control continuo, así como procesos periódicos de autoevaluación.
- Herramientas: requiriéndose la implantación de herramientas de mercado o desarrollos in house para dar cobertura a los diferentes procesos.
Esta normativa es de aplicación a cualquier entidad que realice tratamiento de datos personales de ciudadanos de la Unión Europea.
Las áreas encargadas de la adecuación y cumplimiento de esta normativa son las de Cumplimiento y Legal, CISO, CIO y CDO.