El departamento legal en tiempos de GDPR
Europa y sus ciudadanos están cubiertos por las normas de protección de datos más estrictas del mundo. El departamento legal de las empresas de la UE lleva meses trabajando para adaptarse al Reglamento general de protección de datos (GDPR), que entró en en mayo de 2018 y fue diseñado para modernizar las leyes que protegen la información personal de las personas.
GDPR trae grandes cambios, aunque se considera como parte de una evolución, no una revolución, lo que indica a los profesionales del departamento legal que llegarán nuevas actualizaciones, requisitos y normas en línea con la necesidad de proteger la información sensible… y tendrán que estar preparados.
¿Cómo ha afectado el Reglamento a las empresas y su departamento legal?
El alcance del GDPR se extiende a los individuos, organizaciones y compañías que sean controladores o procesadores de datos personales.
Tanto los datos personales como la información personal confidencial están cubiertos por el GDPR:
Los datos personales, una categoría de información compleja, en términos generales es cualquier información que puede usarse para identificar a una persona. Puede ser un nombre, una dirección, una dirección IP ….
La información personal confidencial abarca datos genéticos, información sobre puntos de vista religiosos y políticos, y orientación sexual, entre otros.
TEXT – TOFU – Conceptos Finanzas
Las definiciones son en gran parte las mismas que las que se incluyeron anteriormente en las leyes de protección de datos. Donde GDPR se diferencia de las leyes actuales de protección de datos es que los datos personales seudonimizados pueden incluirse también en la ley, si es posible que una persona pueda ser identificada por un seudónimo.
Además, existen otras diferencias. En el texto completo de GDPR hay 99 artículos que establecen los derechos de los individuos y las obligaciones que se imponen a las organizaciones cubiertas por el reglamento y que su departamento legal debe conocer bien.
Se busca garantizar que las personas tengan un acceso más fácil a los datos que las empresas tienen sobre ellos, y, además se establece un nuevo régimen de multas y se determina una clara responsabilidad de las organizaciones a la hora de obtener el consentimiento de las personas sobre las que recopilan información.
En la preparación para el GDPR, las empresas y su departamento legal deben tener más conciencia de las reglas, en especial en lo que respecta a:
Responsabilidad y cumplimiento. Las compañías cubiertas por el GDPR son responsables de la gestión de la información personal de otros individuos. Esto puede incluir tener políticas de protección de datos, evaluaciones de impacto de protección de datos y generar informes relevantes sobre cómo se procesan los datos. Para las empresas que tienen más de 250 empleados, existe la necesidad de contar con documentación sobre por qué se recopila y procesa la información de las personas, las descripciones de la información que se conserva, el tiempo que se conserva y las descripciones de las medidas de seguridad técnicas vigentes. Además, las empresas que llevan a cabo un control regular y sistemático de personas a gran escala o que procesan una gran cantidad de datos personales confidenciales tienen que contratar a un oficial de protección de datos (DPO). Para muchas organizaciones cubiertas por GDPR, esto puede significar tener que contratar a un nuevo miembro del personal, aunque las empresas más grandes y las autoridades públicas ya pueden tener personas en este rol También se impone un requisito para que las empresas obtengan el consentimiento para procesar datos en algunas situaciones. Cuando una organización confía en el consentimiento para utilizar legalmente la información de una persona, tiene que explicar claramente que se está dando el consentimiento y tiene que haber una confirmación expresa.
Acceso de las personas a sus datos. Además de imponer nuevas obligaciones a las empresas y organizaciones que recopilan datos personales, el GDPR también otorga a las personas mucho más poder para acceder a la información que se tiene sobre ellos. El departamento legal tiene que estar al tanto de que cualquier persona puede pedirle a una empresa u organización que le proporcione la información recogida sobre ella. El reglamento también otorga a las personas el poder de borrar sus datos personales en algunas circunstancias.
Uno de los elementos más importantes y más comentados del GDPR ha sido la capacidad de los reguladores para multar a las empresas que no cumplan con sus preceptos. Depende el departamento legal evitar estas sanciones, aunque, para ello, deberán asegurarse de que la organización procesa los datos de cada persona de la manera correcta.
Es posible que la fecha de cumplimiento de GDPR ya haya pasado, pero la protección de datos está en continua evolución. Mantenerse al tanto de los datos puede ser difícil, especialmente cuando las empresas están evolucionando los servicios que se ofrecen a los clientes y ahí precisamente radica el reto al que se enfrenta el departamento legal.