¿Cómo almacenar datos electrónicamente cumpliendo con el Reglamento Europeo de Protección de Datos GDPR?
El Reglamento Europeo de Protección de Datos (GDPR), cuya aplicación será de obligado cumplimiento en todos los Estados miembro de la Unión Europea a partir del 25 de mayo de 2018, otorga un mayor control a los individuos sobre sus datos personales y exige a las empresas una responsabilidad activa para garantizar su cumplimiento. En menos de dos meses, las empresas y organismos públicos y privados deberán cumplir con el Reglamento GDPR y los servicios de EDICOM garantizarán desde esta fecha el cumplimiento del Reglamento. La ley contempla sanciones de hasta 20 millones euros para los infractores o hasta un 4% de la facturación global anual del responsable del tratamiento de los datos.
La ventaja de contar con EDICOM como proveedor es que, además de los conocimientos tecnológicos, nuestros servidores se ubican en Europa y, por tanto, cumplirán con el reglamento GDPR. Nuestros clientes pueden estar tranquilos del tratamiento que se hará de sus datos, protegidos bajo este Reglamento.
EDICOMLta, herramienta de almacenamiento electrónico de larga duración al servicio del GDPR
Almacenar los datos de usuarios va a tener más importancia y protección que nunca. Por eso, contar con una solución o un servicio de almacenamiento que cumpla con el GDPR es imprescindible para las empresas que manejen datos personales. Para ello, EDICOM pone a disposición de cualquier empresa un servicio de almacenamiento electrónico que cumplirá totalmente con los requisitos del GDPR, disponible en la nube y accesible a nivel global. A través de la solución EDICOMLta, las empresas podrán almacenar y proteger bases de datos de clientes o cualquier otro tipo de información personal que esté contenida en contratos, nóminas, archivos multimedia, facturas, etc…
A través del servicio EDICOMLta (Long term archiving), el servicio de conservación electrónica de documentos de larga duración que ofrece EDICOM, en calidad de prestador cualificado de servicios de confianza bajo el Reglamento eIDAS, las empresas pueden asegurar la integridad y confidencialidad de los datos gestionados que adquieren valor de prueba legal gracias al proceso de certificación al que son sometidos. El servicio aplica los métodos cualificados de confianza de firma y sello electrónico de tiempo previstos en el reglamento eIDAS.
En el caso de empresas con sedes en Europa, pero con clientes y usuarios en la Unión Europea cuyos datos viajan para ser tratados y almacenados en servidores fuera de la Unión, deben contar o bien con un acuerdo bajo un sello de privacidad europeo o almacenarlos en soluciones que cumplan con el GDPR, como EDICOMLta.
¿Por qué es necesario el GDPR?
La globalización, el desarrollo de la economía digital y las nuevas tecnologías han provocado un aumento de la difusión de información personal y de la cesión de datos personales, así como del intercambio de esta información entre operadores públicos y privados dentro y fuera de nuestras fronteras. Con él, se establece un marco jurídico común en Europa que garantiza el nivel de protección de los derechos y libertades de las personas físicas equivalente en todos los Estados miembros y, al mismo tiempo, elimine los obstáculos a la circulación de datos personales dentro de la Unión, derivados de las divergencias en la ejecución y aplicación de la Directiva 95/46/CE.
Todas las empresas u organizaciones, con independencia de su tamaño, volumen de negocio y ubicación, que procesen y almacenen datos personales de ciudadanos residentes de la Unión Europea, deberán revisar sus procesos para adaptarse al cumplimiento del GDPR que viene a modificar algunos aspectos del régimen actual e introduce nuevas obligaciones. Este reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
Mayor control de los datos personales
La nueva norma pretende hacer más transparente y accesible la información que facilitan los ciudadanos a las empresas y mejorar los mecanismos de control de éstos mediante nuevos elementos como el derecho al olvido, la limitación de tratamiento o el derecho a la portabilidad. En base a los derechos que establece el GDPR para las personas que han cedido sus datos personales a terceros, las empresas deben poner en marcha mecanismos y procedimientos que los garanticen.
Papel activo de las empresas: responsables, encargados y delegados
Una de las novedades más importantes que contempla el GDPR es el papel activo de las empresas a través de la figura del “responsable” que deberá aplicar medidas técnicas y organizativas que garanticen y demuestren que el tratamiento es conforme al Reglamento. La responsabilidad última del tratamiento de los datos personales recae sobre esta figura.
Por otro lado, el GDPR establece obligaciones a la figura del “encargado del tratamiento”- la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento-, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos. Por ejemplo:
- Deben mantener un registro de actividades de tratamiento.
- Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
- Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.
Además, según contempla el reglamento, los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD, como muestra de que cumplen con las garantías exigidas.