En la última Open Class virtual gratuita, organizada por la Escuela de Negocios de la UEMC, Sonia Polvorosa, ha explicado todas las Novedades en el RGPD (Reglamento General de Protección de Datos) que se llevarán a cabo a partir del próximo 25 de mayo a nivel europeo.

Te puede interesar: Descubre las principales novedades de la Declaración de la Renta

Polvorosa, abogada especializada en protección de datos y seguridad en internet, informó de quiénes están obligados al cumplimiento, en qué se basan los cambios y cuáles son los principios que configuran esta nueva normativa.

Qué es el RGPD

El pasado 25 de Mayo de 2016 entró en vigor el Nuevo Reglamento Europeo de Protección de datos, aunque su aplicación no será efectiva hasta el 25 de Mayo de este año.

Estos dos años que han pasado hasta la aplicación del Reglamento, tienen como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos, vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

El Reglamento Europeo de Protección de Datos unifica y moderniza la normativa europea sobre protección de datos, permitiendo a los ciudadanos un mejor control de sus datos, permitiendo a las empresas ganar confianza entre los usuarios de Internet.

En el caso de España, donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución, se recogen novedades, tanto en el régimen de consentimiento como en los tratamientos y en la introducción de nuevas figuras y procedimientos.

Están obligadas a cumplir el reglamento todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembro, también las españolas.

Así que… ¡atento! porque, aunque no lo creas, este Reglamento te afecta y queda poco tiempo para adaptarse a él. ¿Por dónde empezar?, ¿cómo ir adecuando la actividad de las organizaciones a la nueva regulación? Son muchas las cuestiones y retos que se plantean, y una tras otra, Polvorosa fue enumerando todas  las novedades.

Novedades en el RGPD

1- Obtención del consentimiento para el tratamiento de datos

Normativa actual (LOPD): En estos momentos, la actual LOPD exige el consentimiento inequívoco de los interesados para el tratamiento de sus datos. No obstante, si los datos recabados no son especialmente sensibles, se admite que dicho consentimiento pueda ser tácito, tal y como se establece en el Informe Jurídico 0645/2009 emitido por la Agencia Española de Protección de Datos. Por otra parte, en relación con el tratamiento de datos de menores, la LOPD establece, salvo excepciones legales,  la posibilidad de recabar datos personales de mayores de 14 años sin necesidad de recabar el consentimiento de sus padres.

Normativa futura (RGPD): A partir de mayo, el RGPD mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar que el consentimiento es inequívoco, deberá existir  una declaración del interesado o una acción positiva que manifieste su conformidad.

Recomendaciones de Polvorosa: Es aconsejable revisar  la forma en la que recabar el  consentimiento y eliminar las prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa  pero que dejarán de serlo cuando el Reglamento sea de aplicación. Asimismo, en relación con el tratamiento de datos de menores, se recomienda aplicar ya los requisitos de edad establecidos en el RGPD.

2- Deber de información

Normativa actual (LOPD): Nuestra legislación actual establece la obligación de informar en todo proceso de recogida de datos personales sobre la existencia de un fichero o tratamiento de datos de carácter personal, la identidad del responsable del tratamiento,  la finalidad de la recogida de los datos , así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Asimismo, cuando los datos personales se hayan obtenido de terceros (cesión de datos personales), el responsable del tratamiento dispondrá de un plazo de tres meses para informar al interesado, debiendo indicar la procedencia de los datos.

Normativa aplicable en 2018 (RGPD): El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos.  En lo que respecta al interesado cuyos datos se han obtenido de otra fuente (cesión de datos), la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses indicados en la LOPD).

Según Sonia Polvorosa, es aconsejable que las empresas y organismos empiecen ya a revisar los contenidos de las leyendas legales que hayan incorporado en los procesos de recogida de datos (on line/ off line) para ir adecuando la redacción a los nuevos requerimientos del RGPD.

3- Derechos de los interesados

Normativa actual (LOPD): los derechos reconocidos en la actual LOPD son los siguientes:

• Derecho de acceso,
• Derecho de rectificación,
• Derecho de oposición,
• Derecho de cancelación.

Normativa futura (RGPD): En el RGPD se incluyen, además de los anteriores, los siguientes derechos:

• Derecho a la transparencia de la información, (en cuanto al derecho de los afectados a ser informados sobre dicho tratamiento)
• Derecho de supresión (derecho al olvido),
• Derecho de limitación,
• Derecho de portabilidad.
• Derecho de oposición.

4- Evaluación de impacto del tratamiento de datos personales

Normativa actual (LOPD): No se regula en la LOPD.

Normativa aplicable en 2018 (RGPD): Se establece  la obligación de realizar una evaluación de impacto (Privacy Impact Assesment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del RGPD).

Recomendaciones: En 2014, la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales. Se trata de un documento de referencia del que las organizaciones pueden disponer para ir estableciendo las bases y aspectos esenciales que deberán tener en cuenta en el proceso de la evaluación de impacto que deberán realizar.

5- Comunicación de fallos a la autoridad de protección de datos

Normativa actual (LOPD): No se regula en la LOPD.

Normativa aplicable en 2018 (RGPD): Se trata de una nueva obligación del RGPD que impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.

Recomendaciones de Polvorosa: Hasta el momento de aplicación efectiva del RGPD, las organizaciones pueden ir estableciendo, al menos,  procesos internos para canalizar las comunicaciones de brechas de seguridad o incidentes que afecten a la protección de datos. Estas comunicaciones internas deben realizarse a la persona que asumirá la figura de Delegado de Protección de Datos, en su defecto, a la persona encargada de coordinar el cumplimiento de la normativa de protección de datos.

6- Registro de tratamiento de datos

Normativa actual (LOPD): No se regula en la LOPD.

Normativa aplicable en 2018 (RGPD): Según lo previsto en el artículo 30 del RGPD, las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados,  o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.

Recomendaciones: Se recomienda a las organizaciones que traten datos de riesgo para la privacidad o traten datos sensibles, que pongan en marcha la redacción de este registro de tratamiento de datos. De momento, puede integrarse este registro en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca del formato y gestión de este registro interno.

7- Aplicación de medidas de seguridad

Normativa actual (RLOPD): Actualmente el Reglamento de Desarrollo de la LOPD, establece la obligación de aplicar diferentes medidas de seguridad, en función del nivel de los datos tratados (básico, medio o alto), las cuales han de estar recogidas en el Documento de Seguridad.

Normativa aplicable en 2018 (RGPD): El RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse, a diferencia de lo que ocurre con el actual RLOPD que describe de manera detallada cada medida de seguridad que debe implementar el responsable del tratamiento.

Recomendaciones: De momento, basta con que se mantenga actualizado el Documento de Seguridad, siempre que las medidas técnicas y organizativas sean adecuadas para garantizar la seguridad, integridad y privacidad de la información de carácter personal tratada.

8- Delegado de protección de datos 

Normativa actual (RLOPD): El RLOPD, recoge en su artículo 95 la figura de Responsable de Seguridad, cuya designación es obligatoria en caso de tratamiento de ficheros de nivel medio/alto. Sus funciones se centran en coordinar la implementación de las medidas de seguridad establecidas en el mencionado RLOPD.

Normativa aplicable en 2018 (RGPD): Se introduce la nueva figura del Data Protection Officer o Delegado de Protección de Datos, que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos.

Sus funciones se centran en:

• Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
• Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales: asignación de responsabilidades, formación del personal y auditorías correspondientes.
• Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
• Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
• Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.

Dicha figura será obligatoria cuando:

• El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
• Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; o
• Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.

Recomendaciones: Para aquellas organizaciones que deban contar con un Delegado de Protección de Datos, sería conveniente que se designara ya esta figura, con el fin de que el DPO inicie el proceso de implementación de las novedades legislativas del RGPD  de manera progresiva, así como para que vaya difundiendo en la organización los nuevos procedimientos internos.

9- Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación

Normativa actual (LOPD): No se regula en la LOPD.

Normativa aplicable en 2018 (RGPD): Se avanza un paso más para reforzar el concepto de accountability empresarial, es decir, la responsabilidad proactiva en el  cumplimiento normativo. Para ello, el RGPD establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento. Asimismo, el RGPD propone como mecanismos efectivos de verificación del cumplimiento,  la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del RGPD).

Recomendación: Es aconsejable que las organizaciones que tengan procesos complejos de tratamiento de datos o manejen datos especialmente sensibles, implementen protocolos internos o procesos de certificación que faciliten y garanticen el cumplimiento del RGPD.

Aunque el Reglamento está vigente desde el 2016, se ha dado todo este tiempo de plazo para adecuarse a esta nueva normativa europea, así que recuerda poner a punto tus procedimientos antes del 25 de mayo.

Te puede interesar: Big Data, el gran reto del sector financiero

NUEVA OPEN CLASS

Somos responsables de nuestras palabras y acciones en internet, somos lo que decimos y hacemos en las redes y esto, nos puede pasar factura. ¿Quieres saber cómo comportarte en la Red? Mar Castro será la encargada de darnos una serie de pautas en la siguiente Open Class el próximo 8 de mayo. Si deseas apuntarte, de manera gratuita, no dudes en apuntarte aquí.