El nuevo Reglamento General de Protección de Datos cambiara la gestión de la protección de datos
Como ya indicamos en anteriores noticias, la Unión Europea aprobó el pasado 27 de abril un nuevo Reglamento General de Protección de Datos, el cual va a cambiar en los próximos años la manera en que las empresas protegen los datos personales que recogen y almacenan. El mismo será de obligatorio cumplimiento a partir del 25 de mayo de 2018 y afectará a para todas las empresas e instituciones europeas.
Este reglamento aglutina todas las normas nacionales y se impondrá a la LOPD siempre que haya conflicto entre ambos textos. La Agencia Española de Protección de Datos tiene prevista la publicación de una guía a mediados del año que viene para asesorar sobre la adopción del nuevo GDPR (siglas en inglés del nuevo Reglamento General de Protección de Datos). Con esta iniciativa, la UE intenta que compañías y organismos extremen las precauciones para evitar en la medida de lo posible las brechas de seguridad que conducen al robo de información que cuenta con la protección más alta. El reglamento es de obligado cumplimiento para toda empresa que opere en territorio de la Unión Europea, con independencia de que sea europea o no.
Como curiosidad, a partir de ahora las empresas y entidades deberán notificar a la AEPD las rupturas de seguridad. De esta manera, la Agencia podrá obligarlas incluso a hacer públicos los detalles de los ataques. Otra de las novedades es la creación de la figura del delegado de protección de datos, con el que deberán de contar las entidades públicas y las empresas, estas últimas dependiendo de el número de empleados que tenga, de la cantidad de datos tratados y la exposición a posibles ataques.
Además, si una empresa utiliza un servicio de almacenamiento de datos en la nube, y ésta es hackeada, la responsabilidad primera ante las autoridades es de quien ha subido los datos, y no de la empresa que suministra el servicio de almacenamiento en la nube.
Corresponde a los estados establecer las sanciones por incumplir el nuevo GDPR. En teoría, pueden llegar a los cuatro millones de euros, aunque en España, como pasa hasta ahora con la LOPD, tendrán un máximo de 600.000 €.