RGPD

REGLAMENTO GENERAL PROTECCIÓN DE DATOS

¿Qué es Big Data o tratamiento de datos a gran escala?

Aunque no hay una definición exacta, cuando hablamos de Big Data nos referimos a conjuntos de datos o combinaciones de conjuntos de datos cuyo tamaño (volumen), complejidad (variabilidad) y velocidad de crecimiento (velocidad) dificultan su captura, gestión, procesamiento o análisis mediante tecnologías y herramientas convencionales, tales como bases de datos relacionales y estadísticas convencionales o paquetes de visualización, dentro del tiempo necesario para que sean útiles.

Aunque el tamaño utilizado para determinar si un conjunto de datos determinado se considera Big Data no está definido y sigue cambiando con el tiempo, la mayoría de los analistas y profesionales actualmente se refieren a conjuntos de datos que van desde 30-50 Terabytes a varios Petabytes.

La naturaleza compleja del Big Data se debe principalmente a la naturaleza no estructurada de gran parte de los datos generados por las tecnologías modernas, como los web, logs, la identificación por radiofrecuencia (RFID), los sensores incorporados en dispositivos, la maquinaria, los vehículos, las búsquedas en Internet, las redes sociales como Facebook, ordenadores portátiles, teléfonos inteligentes y otros teléfonos móviles, dispositivos GPS y registros de centros de llamadas.

¿Qué es un DPO/DPD?

El nuevo Reglamento Europeo de Protección de Datos introduce la figura de DPO (Data Protection Officer) o traducido al castellano Delegado de Protección de Datos (DPD).

El DPO es una figura independiente que deberá ejercer una función preventiva y proactiva, supervisando, coordinando y divulgando la política de protección de datos que siga la empresa. Lo deberá hacer tanto en el de la misma como desde dentro hacia el exterior. El DPO es un punto de conexión entre el responsable del fichero o tratamiento, el afectado y la/s autoridad/es de control.

El Data Protection Officer es una figura necesaria y aconsejable para las entidades, empresas, instituciones o cualquier agente que procese datos personales, pero no obligatoria generalmente.

Asimismo, su designación, no eximirá a la empresa u organización de responsabilidad por los diferentes tratamientos que se lleven a cabo con los datos de las personas ni, por supuesto, del cumplimiento de las normas del Reglamento.

¿Hay empresas que están obligadas a tener un DPO?

En efecto, el Reglamento obliga a ciertas organizaciones a designar a un DPO forzosamente, en su artículo 37, pero es un punto realmente ambiguo para saber con exactitud las empresas que deberán asignar a este Delegado de Protección de Datos.

¿Qué empresas están obligadas a designar a un DPO?

– Empresas de más de 250 trabajadores.

– Autoridades y organismos públicos. Excepto los tribunales que actúen en el ejercicio de sus funciones.

– Organizaciones que requieran una observancia habitual y sistemática de datos a gran escala.

– Colegios profesionales.

– Centros docentes (con excepciones).

– Entidades que explotan redes y prestan servicios de comunicaciones electrónicas (con excepciones)

– Prestadores de servicios de la sociedad de la información.

– Establecimientos financieros de crédito.

– Entidades aseguradoras y reaseguradoras.

– Empresas de servicios de inversión.

– Distribuidoras y comercializadoras de energía (con excepciones).

– Actividades de publicidad y prospección comercial.

– Centros sanitarios/médicos/profesionales de la medicina. (con excepciones)

– Entidades que emitan informes comerciales que se refieran a personas físicas.

– Actividades de seguridad privada.

Aunque para este tipo de organizaciones es obligatorio, para el resto de organizaciones es aconsejable, ya que el DPO es una figura que velará por el interés del cumplimiento de RGPD y será el nexo de unión entre las Organismos de Control y la empresa; la organización no se verá tan “desnuda” al tener a un elemento perfectamente formado y competente en tema de Protección de Datos.

¿Qué sanciones tiene el incumplimiento de RGPD?

Infringir la nueva normativa puede suponer multas de hasta el 4% sobre el volumen de facturación anual, con tope de 20 millones de euros para los casos más graves, siendo el Organismo de Control quien decida la gravedad de la infracción.

Estas cantidades astronómicas están pensadas para que las organizaciones que a sabiendas que incumplen con la ley, no les sea rentable hacer una previsión para el pago de multas y seguir incumpliendo la ley porque les sea más rentable pagar multas que adecuar o limitar sus tratamientos.

Las empresas que no se adapten a la nueva normativa de LOPD, se arriesgan a multas millonarias, suponiendo incluso el cierre para algunas de ellas, por la elevada cuantía de las sanciones.

Las implantaciones baratas.

Como consultores especializados en implantación en RGPD y LOPD, la nueva Ley Orgánica de Protección de datos, la que entra en vigor en la misma fecha del Reglamento Europeo, es necesario explicar que es IMPOSIBLE realizar un trabajo completo, serio y que se ajuste al cumplimiento sobre protección de datos con costes como tratan de implantar las empresas “low cost” por 200 o 300 euros, ya que el Reglamento exige una vigilancia del sistema de seguridad de la información CONTÍNUO, y por costes es algo totalmente imposible de llevar a cabo.

Implantaciones fantasma.

Una “trampa” de empresas de formación bonificada es vender el curso de RGPD a un trabajador con el fin de usar el saldo disponible que tienen los trabajadores, que con esto ya está.

Es cierto que el reglamento dice que los usuarios de una organización deben tener formación en protección de datos, luego restaría hacer una implantación y seguimiento de la misma, son sus medidas, su documento de cumplimiento, su análisis de riesgo, análisis de impacto, comunicaciones, contratos, etc…

¿Necesitas más información?