La legislación conlleva algunos cambios específicos para las empresas, siendo los más significativos las implicaciones monetarias en caso de incumplimiento.
Introducción de multas significativas
Nivel uno: Hasta 10 millones de euros o hasta el 2% del volumen de negocios mundial anual de la empresa matriz, la cantidad más alta
Segundo nivel: hasta 20 millones de euros o hasta el 4% del volumen de negocios anual de la empresa matriz en todo el mundo, la cantidad más alta.
Derecho de supresión
Si una persona ya no desea que sus datos sean tratados, y no hay motivos legítimos para conservarlos, los datos deben ser borrados. La carga de la prueba de la necesidad de conservar los datos recae en los responsables del tratamiento, no en el interesado.
Notificación obligatoria de una violación de datos
A partir de ahora, las organizaciones deberán notificar las violaciones de datos al Comisario de Protección de Datos en un plazo de 72 horas desde que tengan conocimiento de ellas.
Portabilidad de los datos
La normativa propone el derecho a que los interesados puedan transferir sus datos personales en un formato electrónico de uso común de un responsable del tratamiento a otro sin que el responsable original se lo impida.
Privacidad por diseño
Esta es una de las ideas fundamentales del nuevo reglamento y que pretende cambiar la actitud y la planificación general de las organizaciones respecto a la protección de datos. El artículo 23 estipula que la protección de datos debe diseñarse en el desarrollo de los procesos empresariales, de modo que la privacidad se tenga en cuenta desde el principio del proyecto.
Nombramiento de un responsable de la protección de datos (DPO)
Ciertas actividades, como el seguimiento a gran escala de personas o el tratamiento de datos de categoría especial, requieren que una organización designe a un DPO. Aunque no sea necesario, es una buena práctica nombrar a un DPO con conocimientos de seguridad de la información y que entienda la ley de protección de datos.
