Reglamento 2016/679 del Sejm de la República de Polonia
El Reglamento 2016/679 del Sejm tiene como objetivo hacer más eficiente el sistema fiscal polaco y generar más ingresos para el gobierno. Para lograrlo, la legislación incluye un nuevo sistema de incentivos fiscales para los inversores. Con este nuevo sistema, los inversores disfrutarán de exenciones fiscales sobre el valor de sus inversiones, multiplicado por el porcentaje de ayudas públicas. Estos incentivos fiscales tendrán una validez de entre 10 y 15 años, dependiendo de la ubicación de la empresa. Las empresas que inviertan en nuevos negocios, I+D y nuevos servicios tendrán un tratamiento especial. Además, los inversores podrán beneficiarse de un sistema de puntos, que les permitirá calcular su derecho a recibir incentivos fiscales.
Esta legislación también ayudará a las empresas a cumplir las leyes fiscales en Polonia. Sus principales cambios se refieren a las leyes aduaneras y fiscales. Ayudará a las empresas a cumplir con las nuevas leyes y simplificará los procedimientos para los importadores y exportadores. La ley durará probablemente hasta 2020 y se prorrogará con posibles modificaciones.
El Gobierno también tiene previsto implantar un nuevo impuesto sobre la publicidad, calificado de “tasa de solidaridad” para las empresas de comunicación. La nueva tasa se aplicaría a una gran variedad de entidades, pero las pequeñas empresas de medios de comunicación estarían exentas. Además, el gobierno polaco se ha mostrado públicamente a favor de la introducción de un impuesto global sobre los servicios digitales. Además, el gobierno ha destacado la importancia de la IED para el crecimiento económico. Sin embargo, recientemente ha centrado su atención en reducir su dependencia del capital extranjero y en cambiar su enfoque hacia las pequeñas y medianas empresas.
El Gobierno ha avanzado gradualmente en la simplificación de los procesos administrativos para las empresas y en la introducción de servicios públicos digitales. Sin embargo, siguen existiendo algunas deficiencias en el marco legal y reglamentario. La legislación aplicada y propuesta ha frenado el entusiasmo de los inversores en determinados sectores. Algunos inversores han expresado su preocupación por la falta de previsibilidad y el papel prepotente de las empresas controladas por el Estado y de propiedad estatal. No obstante, las estructuras generales de la economía polaca siguen siendo muy sólidas.
La nueva ley pretende regular los servicios de TIC y establecer una competencia leal entre los distintos operadores de TIC. Se espera que sea promulgada a finales de 2021. Como parte de las reformas, la actual ley de telecomunicaciones será sustituida por la Ley de Comunicaciones Electrónicas (LCE).
Registro de violaciones de datos
Los requisitos del registro de violaciones de datos son un componente crítico de la implementación de medidas de seguridad en los sistemas de información. Estos sistemas permiten a las entidades cubiertas mejorar la prestación de la atención sanitaria al dar a los proveedores acceso a más información sobre los pacientes. El Departamento de Salud y Servicios Humanos ha establecido normas de seguridad para la información sanitaria electrónica y vela por su cumplimiento. Los proveedores de atención sanitaria deben informar al HHS de cualquier infracción. La Oficina de Derechos Civiles del HHS administra el proceso de notificación de infracciones. Sin embargo, hay pocas formas de que las entidades proporcionen información sobre el funcionamiento del programa.
Las notificaciones deben enviarse a todos los individuos afectados sin demora indebida y no más de 60 días después de que se produzca la violación. Deben contener una breve descripción de la violación, el tipo de información involucrada, lo que los individuos afectados deben hacer para protegerse, y lo que la entidad cubierta está haciendo para contener y prevenir nuevas violaciones. Además, deben incluir un número de contacto para que los individuos puedan ponerse en contacto con la entidad si tienen alguna pregunta.
Los sistemas de información que contienen datos personales deben estar sujetos a un sistema de notificación de violaciones de acuerdo con la Ley de Protección de Datos Personales 4 de 2013. La Ley exige a las empresas que notifiquen a los individuos afectados por una violación dentro de las 72 horas siguientes a su conocimiento. El regulador de la información también puede ordenar al responsable que anuncie públicamente la violación.
Si la base de datos de clientes de una empresa es robada, puede existir el riesgo de que sea utilizada para el fraude de identidad. En tal caso, una violación de este tipo normalmente requeriría una notificación a la OIC. Sin embargo, si la información de la base de datos está relacionada con el personal, como los números de teléfono, normalmente la empresa no tendría que notificarlo a la OIC.
Registro de actividades de tratamiento
Un registro de actividades de tratamiento en los sistemas de información debe incluir los tipos y fines de las actividades de tratamiento. También debe facilitarse a la autoridad de control. La información contenida en el registro debe ser completa y autoexplicativa. En algunos casos, es necesario incluir una descripción más detallada de las actividades de tratamiento, en función del tipo y la sensibilidad de los datos tratados. Otros criterios son el alcance de los datos y el número de interesados. Los registros de actividades de tratamiento pueden combinarse con las listas de control para el cumplimiento del RGPD, pero el autor recomienda separar estos tipos de información.
Antes de crear un ROPA, debe reunir toda la información que pueda sobre las actividades de tratamiento que se producen en sus sistemas de información. Puede hacerlo utilizando una hoja de cálculo o una herramienta moderna. Asegúrate de incluir información sobre las siguientes cuestiones ¿Cómo se utilizan los datos personales? ¿Cómo se comparten con terceros? ¿Y durante cuánto tiempo se almacenan los datos personales? Estas son preguntas importantes que debe hacerse para asegurarse de que cumple con los requisitos del GDPR.
Cuando se trata del tratamiento de datos personales, la mayoría de las empresas tienen una obligación nacional. Uno de los ejemplos más comunes es la obligación de procesar datos personales con fines de nómina. Esta actividad suele ser regular y periódica, y debe documentarse adecuadamente. El objetivo del registro es proporcionar una imagen clara de los tipos y fines del tratamiento.
Los registros de las actividades de tratamiento pueden ser útiles para hacer un seguimiento de cómo se tratan los datos personales. Los registros pueden incluir información adicional, como los lugares donde se almacenan los datos, los nombres de los propietarios de los datos y las bases legales. También pueden incluir enlaces a las EIS y EIPD. La información contenida en estos registros le permitirá tener una mejor idea de qué procesos son de mayor riesgo.
Un registro de actividades de tratamiento es un requisito obligatorio en virtud del artículo 30 del RGPD. Su objetivo es proporcionar una visión general de todas las actividades de tratamiento de datos personales en una organización. Debe especificarse la finalidad de cada actividad de tratamiento, así como las categorías de interesados. También debe enumerar cualquier transferencia de datos a terceros países. Además, debe describir las medidas de seguridad que se emplean para proteger los datos.
Multas por incumplimiento
Las multas por incumplimiento en los sistemas de gestión de la información pueden ascender a millones de dólares. Por ejemplo, en 2021, JP Morgan recibió una multa de 125 millones de dólares por incumplir la normativa sobre privacidad de datos. Esta multa estaba relacionada con un mantenimiento deficiente de los registros y la no aplicación de controles de privacidad de datos en torno a los dispositivos personales. Y en 2022, Morgan Stanley fue multado con 60 millones de dólares por violaciones de la privacidad de los datos, que incluían el desmantelamiento de los equipos del centro de datos. Aunque las multas no son altas en comparación con otros tipos de multas, pueden ser increíblemente perjudiciales.
El incumplimiento también puede tener un impacto perjudicial en la reputación de una organización. Según un reciente informe de Ponemon e IBM, hasta el 32% de los costes del incumplimiento se derivan de problemas de reputación. Esto incluye la pérdida de negocio, la reducción de la buena voluntad y el coste de adquisición de nuevos clientes. Esto puede afectar en gran medida a los ingresos futuros de la empresa. Además, los clientes se toman muy en serio el cumplimiento de la normativa, y cualquier incumplimiento puede hacer que una empresa sea bloqueada de un trato o eliminada de la lista de confianza de un proveedor.
Además de las multas, las empresas deben pagar los costes legales derivados del incumplimiento. Una infracción puede dar lugar a una cobertura negativa en los medios de comunicación, con la consiguiente pérdida de ingresos o de reputación. Un estudio reciente patrocinado por Globalscape descubrió que el coste del incumplimiento ha aumentado un 45% desde 2011.
Las multas por incumplimiento en el sector de los sistemas de información pueden oscilar entre unos cientos de dólares y varios cientos de miles de dólares. Y dependiendo de la gravedad de la infracción, la multa puede ser incluso más significativa. Una sola violación de la PCI DSS puede costar a una pequeña empresa cientos de miles de dólares, o incluso un millón.
Una reciente multa a Google por no proporcionar a los usuarios información adecuada sobre sus políticas de privacidad le ha costado a la empresa 43 millones de dólares. La multa fue impuesta por la Comisión Nacional de Informática y Libertades (CNIL), que dictaminó que la empresa había violado cuatro artículos del GDPR. Los cargos contra Google se derivan de la falta de transparencia y de control sobre su tratamiento.
Temas similares