RPGD será de obligado cumplimiento en mayo de 2018
El nuevo Reglamento (UE) del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), entró en vigor el 25 de mayo de 2016, aunque será de obligado cumplimiento el 25 de mayo de 2018.
La vocación de esta norma es la de garantizar en la UE la aplicación de los derechos y libertades de las personas físicas en relación con el tratamiento de datos de carácter personal para que se lleve a cabo de forma homogénea en todos los estados miembros.
Esta nueva ley europea, actualizará los protocolos y el tratamiento de los datos personales por parte de las organizaciones. Por eso te damos las claves de los cambios y algunas directrices para adaptarte al nuevo marco legal
Gestionar una gran cantidad de datos siempre ha sido una tarea ardua y con ciertas dificultades. Desde la Antigüedad, pasando por el reciente y cada vez más obsoleto uso del papel y, por último, llegando a las actuales nuevas tecnologías con las que podemos tener bibliotecas enteras y bases de datos en la palma de nuestras manos.
Por si eso fuera poco, tener en nuestro poder ciertos datos sensibles entraña unos riesgos extra, aunque siempre y cuando se respeten las leyes reguladoras no deberían representar ningún problema.
Desde hace unos años, dichas normas se han endurecido, en forma, por ejemplo, de la archiconocida Ley Orgánica de Protección de Datos (LOPD). Aún así, no debemos olvidar de que el lienzo que representa nuestro país queda incluido en una obra mucho mayor: la Unión Europea.
De allí viene una reciente regulación, la cual entró en vigor en 2016 pero cuya aplicación no ocurrirá hasta el ejercicio próximo. Hablamos del Reglamento General de Protección de Datos (RGPD) y de las novedades que trae bajo el brazo.
El reglamento -cuyo nombre oficial es UE 2016/679, de 27 de Abril de 2016– ha derogado a la anterior Directiva 95/46/CE y será el que regule a partir de ahora la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos en los países pertenecientes a la alianza europea.
Haz una prueba gratuita durante 30 días
Igualmente, en algunos casos se complementará con algunas matizaciones nacionales. De esta manera, junto con la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 –que regulará el uso de los datos por parte de las autoridades- se configura en nuevo marco legal en los estados de la UE.
Y bien, ¿quiénes son aquellos entes que poseen las mayores bases de datos, además de la Administración?
En efecto, las empresas.
Desde el punto de vista de éstas es lógico que surjan dudas y que se pregunten cuáles serán las implicaciones de la aplicación de la normativa.
¿Nos perjudicará o beneficiará? ¿Y a nuestros clientes? ¿Con qué tipo de información hemos de ser más cuidadosos a partir de ahora? ¿Cuáles son las diferencias con la LOPD? Que no cunda el pánico, porque te vamos a dar las claves para que tu empresa esté a la última respecto a esta ley.
Principales novedades del Reglamento de protección de datos
La regulación del tratamiento de datos no era una cuestión sobre la que hubiera un vacío en el marco europeo, ni mucho menos. Las novedades vienen a completar las anteriores directrices para crear procedimientos más seguros.
A partir de ahí, pasamos a enumerar las principales novedades de la legislación, centrándonos en el Reglamento UE 2016/679, de 27 de abril de 2016, que es el que afecta a las empresas.
En primer lugar, y con una especial importancia, tenemos que destacar –y diferenciar- la entrada en vigor y de aplicación del texto, para que a nadie le pille el toro. El Reglamento General de Protección de Datos fue aprobado el 27 de abril de 2016, para entrar en vigor el 25 de mayo del mismo año.
¿Entonces, llevamos desde entonces siendo regulados por este?
No.
¿La LOPD sigue aplicándose?
Sí, y también las europeas como la 95/46/CE.
“No lo entiendo”, seguro que se preguntan muchos. Pues es muy sencillo: la Unión Europea ha decidido dejar dos años de margen para que los estados y, en el caso que a nosotros nos interesa, las empresas que manejan datos, vayan estudiando los cambios y adaptándose a ellos para que, llegada la fecha de su aplicación, todo esté a punto.
La Agencia Española de Protección de Datos resalta que la nueva normativa supone “una gestión distinta de la que se viene empleando”.
El cambio definitivo se realizará el 25 de mayo de 2018.
El consentimiento
Al respecto, la RGPD es muy clara y más dura: exige una demostración inequívoca mediante la cual el sujeto lo conceda. De esta manera, queda fuera la manifestación tácita, una figura que existía en la LOPD.
Otras maneras de proceder habituales por parte de las entidades, como casillas marcadas por defecto en contratos o el silencio del interesado tomado como asentimiento, también dejan de tener validez.
Especial atención han de tener las empresas con todos aquellos datos recabados a través del consentimiento tácito ya que, a partir de mayo de 2018, no tendrán potestad para su tratamiento. Ello significa que han de volver a revisar como obtuvieron y obtener consentimientos inequívocos que sustituyan a los tácitos.
¿Te gusta estar informado sobre Tecnología?
También cambia la edad de consentimiento en el caso de los menores, que pasa de los 14 a los 16 años, aunque es susceptible de sufrir alguna revisión a nivel español.
El deber de información sobre su recogida
Este uno de los puntos sensibles. A las obligaciones de informar sobre sobre los ficheros que alojarán la información, la identidad del responsable del tratamiento, la finalidad de la recogida o la puesta en conocimiento de los derechos de acceso, rectificación, cancelación y oposición, se añaden otras nuevas.
Cuestiones como cuánto tiempo se conservarán sus datos o a qué autoridades dirigirse en caso de que surja algún problema habrán de ser comunicadas.
Por otro lado, si una entidad obtiene los datos de alguien parte de un tercero, se reduce a un mes el periodo que tiene para informar al interesado de su posesión y procedencia (anteriormente eran tres).
Los derechos de los interesados
Así como clientes o personas que figuran en nuestras bases de datos, el RGPD no cambia la legislación actual sino que la amplía.
A los ya conocidos de acceso, rectificación, oposición y cancelación se unen algunos más, así como la obligación del responsable del tratamiento de permitir el ejercicio de los mismos de manera telemática.
Especialmente relevante es el ejercicio del derecho de supresión o “derecho al olvido”, por sus implicaciones tecnológicas. Permitirá la supresión sin dilación indebida en el caso de que los datos ya no sean necesarios, se retire el consentimiento, se oponga al tratamiento, o que sus datos hayan sido tratados ilícitamente, entre otros.
La referencia tecnológica se engloba en el “derecho al olvido”, que se refiere a los casos en los que se hayan hecho públicos a través de la Red y cumplan alguno de los puntos anteriores, poniendo la organización los medios necesarios para su eliminación.
Otros incluidos son los derechos a la limitación, transparencia de la información y portabilidad.
La nueva norma también introduce la evaluación de impacto del tratamiento de los datos personales (EIPD). Ello consiste en que las organizaciones deben evaluar, como dice su enunciado, el impacto en los tratamientos de datos en aquellos casos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Dicho estudio debe hacerse antes de iniciar el tratamiento y ha de evaluarse el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
Respecto a la figura del responsable de seguridad, que cita la LOPD, se verá complementada por una nueva. Será el delegado de protección de datos –cuya presencia en las empresas será obligatoria cuando el responsable de seguridad manipule habitualmente datos a gran escala, y/o categorías especiales de datos personales– el que asesorará y supervisará la aplicación de las normas. También se encargará de la documentación respecto a la violación de datos personales y de ejercer como enlace con la autoridad de control. En este último punto es donde su figura cobra especial relevancia, ya que existe la obligación de comunicar a la autoridad, en un plazo máximo de 72 horas, cualquier fallo de seguridad que se produzca en la empresa.
Y para prevenir estos fallos, también se establecen una serie de medidas en cuanto al registro y la seguridad. De esta forma, aquellas organizaciones que manejen datos sensibles o de riesgo para la privacidad de los interesados, tendrán que disponer de un registro que recoja información distintas actividades como los tratamientos de datos efectuados, los datos personales tratados, los destinatarios de estos… Abordando el tema de las medidas de seguridad, la RGPD concreta que se aplicarán “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas”. La nueva legislación habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo. En comparación, la LOPD es más específica, estableciendo niveles en los ficheros -básico, medio, alto- y entrando en detalle de qué medidas de seguridad ha de aplicar el responsable de tratamiento en función de éstos.
Y, por último pero no menos importante, no hay que olvidar el régimen sancionador, que se endurece muy notablemente. El máximo de 600.000 euros de multa por cada dato mal tratado que contempla la LOPD se incrementa hasta cantidades que podrían ascender a los 20 millones de euros o el 4% del volumen de negocio del ejercicio anterior en el caso de la RGPD.
¿Algún consejo?
Desde su entrada en vigor, la Agencia Española de Protección de Datos ha elaborado una serie de decálogos y guías para orientar a las organizaciones y empresas en su correcta adaptación a la normativa. Las cuestiones sobre las que hacen mayor hincapié son la previsión y la adaptación progresiva, pero también existen algunas más concretas que se pueden resumir en los siguientes puntos:
–Revisión de los métodos utilizados hasta ahora: Encontrar contradicciones con la nueva normativa y subsanarlas en cuanto sea posible, sin prisa pero sin pausa. Prestar mucha atención a los datos recabados mediante consentimientos tácitos y, especialmente, los que impliquen a menores de 16 años.
–Trabajar en el deber de la información: Se traduce en proveer todas las facilidades para que los interesados puedan ejercer sus derechos sobre los datos de la manera más ágil posible. La transparencia y los medios tecnológicos se postulan como factores decisivos, así como el establecimiento de unas bases legales claras en el momento de la recogida de datos.
–Ser previsores en cuanto a las evaluaciones de impacto: Evaluar los riesgos en el tratamiento de datos de manera adecuada, más aún en un principio, hasta que el protocolo esté interiorizado y asimilado. Para ello, será especialmente útil una de las guías que la Agencia Española de Protección de datos ha dedicado a este menester.
–Activar los nuevos protocolos de registro y de seguridad: Se recomienda que se pongan en marcha cuanto antes, a pesar de no ser todavía obligatorios, basándose en las premisas de previsión y adaptación progresiva.
–Designar ya mismo un Delegado de Protección de Datos: En caso de que sea necesario en la organización su instauración facilitaría mucho los procesos de cara a mayo de 2018.
¿Te gusta estar informado sobre Tecnología?
En conclusión
La nueva Regulación General de Protección de Datos afectará dentro de poco a las empresas, alterando su manera de trabajar con datos.
La Unión Europea concedió dos años para ir adaptándose antes de su aplicación, así que las compañías han tenido, hasta ahora, más de año y medio para ir adaptándose.
Igualmente, es probable que muchas no lo hayan hecho pero todavía les quedan varios meses por delante para establecer las medidas adecuadas para que en mayo de 2018 sea respetada la normativa de protección de datos.
En muchos de estos procesos, poniendo la vista sobre todo en los que necesitan un apoyo de la tecnología, empresas como Grupo Garatu pueden hacerles la vida más fácil. Esto se da, especialmente, en cuestiones como seguridad o bases de datos, entre otros, sobre las que estaremos encantados de ayudarte. ¡No dudes en preguntar!
DESCÁRGATE EL WHITEPAPER QUE HEMOS ELABORADO CON LAS NOVEDADES
