Aplicación del Reglamento General de Protección de Datos (RGPD)

Aplicación del Reglamento General de Protección de Datos (RGPD) desde el 25 de mayo de 2018.

El Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD – Reglamento General de Protección de Datos) lo  aprobó el 27 de abril del 2016 el Parlamento Europeo y el Consejo de la Unión Europea. Surgió tras una importante crisis de espionaje a Europa por parte de Estados Unidos, y que hizo ver a los órganos europeos la necesidad de mejorar sustancialmente la protección de los datos de los europeos. La entrada en vigor será el próximo 25 de Mayo y sustituirá a la anterior Directiva de 1995.

Objetivo

El objetivo que subyace a lo largo del Reglamento es que el usuario que proporciona sus datos a una organización (comprador, contacto comercial o personal o del tipo que sea) tenga el control total sobre los datos que cede. Esto implica que debe dar su consentimiento explícito para el tratamiento de sus datos y, mucho más importante, para la finalidad con la que se han recabado esos datos, y puede en cualquier momento revocar esta situación. Esto implica que no está permitido usar los datos de un contacto para ninguna otra actividad que no haya autorizado la persona, y que se debe informar claramente del objetivo por el que se recaudan todos los datos. Para los responsables del tratamiento, el RGPD aplica el principio de “responsabilidad proactiva”, que describe como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. A la práctica, significa que las organizaciones deben analizar qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

Cambios a hacerse en la empresa

CONSENTIMIENTO: El RGPD requiere que el interesado preste el consentimiento mediante una declaración inequívoca o una acción afirmativa clara. Se elimina el consentimiento tácito (por silencio), por lo que tu empresa deberá revisar y solicitar un nuevo consentimiento a los usuarios cuyos datos se obtuvieron tácitamente en el pasado, o bien buscarles otra cobertura legal. En el ámbito de los servicios de la sociedad de la información, el consentimiento de los menores sólo será válido si tienen más de 16 años. Sin embargo, los estados miembros de la UE pueden rebajar la edad hasta los 13 años.

DERECHO DE INFORMACIÓN: El nuevo Reglamento configura la información como un derecho de las personas afectadas y amplía las cuestiones sobre las que es necesario informarlas, con los aspectos siguientes: los datos de contacto del delegado de protección de datos; la base jurídica del tratamiento; los intereses legítimos perseguidos en que se fundamente el tratamiento, en su caso; la intención de transferir los datos a un tercer país o a una organización internacional y la base para hacerlo, en su caso; el plazo durante el cual se conservarán los datos; el derecho a solicitar la portabilidad; el derecho a retirar en cualquier momento el consentimiento que se haya prestado; si la comunicación de datos es un requisito legal o contractual o un requisito necesario para suscribir un contrato; el derecho a presentar una reclamación ante una autoridad de control; la existencia de decisiones automatizadas, incluida la lógica aplicada y sus consecuencias.

DERECHOS POLIARSO: Son los mencionados derechos de Portabilidad, Oposición, Limitación del tratamiento, Información, Acceso, Rectificación, Supresión/derecho al olvido y Oposición. Como comentábamos, el RGPD incorpora el derecho al olvido como un derecho vinculado al derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad.

REGISTRO DE ACTIVIDAD DE TRATAMIENTO DE DATOS: El registro es una obligación para los responsables o los encargados del tratamiento. Sólo se exceptúan de esta obligación los responsables o encargados del tratamiento que cuenten con menos de 250 trabajadores y que lleven a cabo tratamientos que no puedan suponer un riesgo para los derechos y las libertades de las personas interesadas, y que no incluyan categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.  Estos responsables y encargados del tratamiento tienen que llevar un registro de las actividades de tratamiento que lleven a cabo y la información que lleva el registro la establece el artículo 30 del RGPD.

VIOLACIONES DE SEGURIDAD: Se recoge en el Reglamento la obligatoriedad de comunicar cualquier violación de seguridad que afecte a datos personales  en un plazo de 72 horas a la Agencia Española de Protección de Datos, y en casos graves, a los propios afectados.

 ¿los ciudadanos tienen nuevos derechos?

Se amplía la lista de derechos ciudadanos, pasando de los conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) que recoge la LOPD actual, a los derechos POLIARSO: Portabilidad, Oposición, Limitación del tratamiento, Información, Acceso, Rectificación, Supresión/derecho al olvido y Oposición a ser objeto de decisiones individuales automatizadas. Además, se amplían las categorías especiales de datos y se incluyen como datos especialmente sensibles los datos biométricos, genéticos, opiniones políticas y orientación sexual de los usuarios.  Estos datos, junto a los referentes a origen étnico o racial, convicciones religiosas, afiliación sindical y datos relativos a la salud, no podrán usarse con carácter general para identificar al usuario, salvo excepciones que el propio reglamento regula.

¿Y cuáles son entonces las obligaciones de las organizaciones?

Más que obligaciones, la norma contempla un principio que se llama de Responsabilidad Activa. Las empresas deben adoptar medidas que demuestren que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

– Protección de datos desde el diseño
– Protección de datos por defecto
– Medidas de seguridad
– Mantenimiento de un registro de tratamientos
– Realización de evaluaciones de impacto sobre la protección de datos
– Nombramiento de un delegado de protección de datos
– Notificación de violaciones de la seguridad de los datos
– Promoción de códigos de conducta y esquemas de certificación

¿Si mi empresa no tiene su sede en la UE, ¿debo cumplir igualmente con el RGPD?

Esta es una de las novedades de esta norma con respecto a la anterior legislación: sí. El Reglamento amplía el ámbito de aplicación territorial a los responsables y los encargados del tratamiento no establecidos en la UE cuando sus actividades tienen lugar en la UE. Además, se introduce el sistema de Ventanilla Única. Este sistema permite que los ciudadanos y también los responsables establecidos en diferentes estados miembros o que hagan tratamientos que afectan a diferentes estados miembros tengan una única autoridad de protección de datos como interlocutora. Por otra parte, aunque Reino Unido sale de la UE, el Gobierno británico ha comunicado que está aplicando el RGPD en el nuevo proyecto de ley de protección de datos y que continuará en vigor tras el Brexit de 2019.

¿Queda obsoleta la LOPD?

No, la actual Ley Orgánica de Protección de Datos sigue vigente y se está revisando para adaptarla a la nueva normativa RGPD. El actual Reglamento viene a ampliar y completar la norma con la que ya estamos familiarizados la mayoría de organizaciones. Sí que es muy probable además, que si hasta ahora has cumplido a rajatabla con la LOPD, y todos tus ficheros están al día, estés también cumpliendo ya con la práctica totalidad el RGPD, en especial en lo que afecta a consentimiento. El paso a RGPD será mucho más sencillo y requerirá adaptaciones más simples.

¿Mi empresa está obligada a certificarse conforme cumple el RGPD?

No es necesario, pero el RGPD fomenta la certificación voluntaria ante organismos sectoriales u organizaciones que cumplan la norma EN-ISO/IEC 17065/2012 y que tengan la autorización de las autoridades de control correspondientes. En España esta autoridad será la Agencia Española de Protección de Datos (AEPD). Además, es aconsejable aunque no obligatorio someterse a auditorías de tratamiento de datos, y en el caso de terceros que ofrecen servicios de tratamiento de datos a otros, deben poner a disposición de la empresa que los contrata toda la información necesaria que demuestre el cumplimiento de sus obligaciones respecto del RGPD.

¿Quién es la figura del delegado de protección de datos? ¿Tengo que tener uno por obligación?

El Delegado de Protección de Datos (DPO) es una figura esencial en el RGPD ya que se encarga de informar, asesorar y supervisar al Responsable y Encargados de Tratamiento. Determinadas empresas tienen la obligación de contar con un DPO, un perfil que puede ser interno o externo. No es necesario en todos los casos. Necesitan delegado los organismos públicos, las organizaciones que tengan una actividad principal que implique el seguimiento de personas a gran escala (incluida la elaboración de perfiles) o aquellas que gestionen datos en categorías especiales, como datos médicos o relativos a condenas o infracciones penales.

¿Cuánto de graves son las sanciones por no cumplir con el RGPD?

Las organizaciones que no tomen las medidas adecuadas para proteger los datos personales en virtud del RGPD pueden enfrentarse a multas de hasta 20 millones de euros o de una cuantía equivalente al 4 % del volumen de negocio total anual global. Además de las multas, tendrán también impacto económico las indemnizaciones debidas a las personas perjudicadas por el mal uso de sus datos. Otras consecuencias además de sanciones de no cumplir con el RGPD incluyen la suspensión o limitación de los flujos de datos y el perjuicio a la reputación de la empresa por parte de la opinión pública.

Dónde puedo acceder al texto completo del RGPD y conseguir una guía para adaptar mi empresa a la norma?

La Agencia Española de Protección de Datos ha puesto a disposición de ciudadanos y empresas un completo apartado en su web para aclarar todas las dudas sobre el Reglamento General de Protección de Datos y facilitar la adaptación de tu empresa a la norma. Consulta la Legislación en materia de RGPD, infografías y guías para el sector público y privado.

Print Friendly, PDF & Email
A %d blogueros les gusta esto: