El 25 de mayo de 2018 comenzará a ser de aplicación el Reglamento General de Protección de Datos (en adelante, RGPD). Este reglamento está ya en vigor desde mayo de 2016 y se aplicará de forma directa, simultáneamente con la legislación estatal y autonómica sobre protección de datos (incluidos la LOPD y su Reglamento (RD 1720/2007), en tanto en cuanto no contravengan lo establecido en el RGPD.
La nueva norma pretende garantizar una mayor protección a los derechos de los interesados en cuanto al uso de sus datos personales y supone un reto para las empresas, pues es mucho más exigente que la normativa que conocemos.
El nuevo escenario plantea que las empresas deberán adoptar las medidas que estimen necesarias para proteger los datos que traten, una vez analizados y detectados los riesgos para los derechos de los interesados.
Desaparecen los ficheros tal y como los conocíamos hasta ahora, la empresa tendrá que actuar de una forma pro-activa, demostrando que cumple con la normativa. Para ello tendrá que realizar Evaluaciones de impacto y mantener actualizado un registro de las actividades de tratamiento de datos personales bajo su responsabilidad. Surge así el principio de “ACCOUNTABILITY”, o rendición de cuentas.
Esto da lugar a un capítulo entero de medidas y obligaciones prácticas, que será la parte que más contribuya a proteger los datos.
Se refuerza el consentimiento para el tratamiento de los datos. Los consentimientos tácitos son historia, ya no sirve el consentimiento por defecto o por omisión. En el nuevo RGPD el consentimiento debe de ser inequívoco y explícito y debe acreditarse por el Responsable. Además, los responsables deberán informar con mayor transparencia a la hora del tratamiento para que el usuario decida si presta o no su consentimiento. Por lo tanto, la información que se tiene que ofrecer en las cláusulas a la hora de la recogida de los datos aumenta, aunque se puede ofrecer por capas.
Si trabajamos con datos de menores, debemos disponer de sistemas de verificación que permitan identificar la edad del menor y obtenerlo con el consentimiento de los padres o tutores. Por primera vez, el RGPD ofrecerá protección especial para los datos personales de los niños, especialmente en el contexto de los servicios comerciales de Internet, como las redes sociales.
Otra de las novedades es que se amplía el capítulo de derechos para los interesados con derechos como el de portabilidad de los datos, el de limitación de los tratamientos o el derecho de supresión, también conocido como derecho al olvido.
Teniendo en cuenta el principio de proactividad presente en toda la norma y el de rendición de cuentas, el responsable vendrá obligado a comunicar a la autoridad de control cualquier brecha de seguridad, en un plazo de 72 horas, incluso se deberá comunicar a los propios interesados si la brecha implica un riesgo para ellos.
Para determinados sectores y responsables surge la figura del Delegado de Protección de Datos, una figura que va más allá del actual responsable de seguridad pues es el nexo entre la empresa, la autoridad de control y los interesados. La norma define muy bien sus funciones y la formación que tiene que tener en la materia, pudiendo ser interno o externo.
Se dedica todo un capítulo a las relaciones Encargado de tratamiento-Responsable, que deben ser transparentes e informadas. El Responsable verificará el cumplimiento de la norma por parte del Encargado. Esto supone revisar los contratos con los encargados de tratamiento e incluir las cláusulas necesarias para cumplir con el RGPD.
Otro cambio significativo se produce en el capítulo de sanciones: No se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.
En definitiva, el RGPD exigirá mayor protección de los datos personales, exigiendo una mayor actitud y proactividad en relación con los datos personales.
Ya no sirven los check list de comprobación, pues las medidas de seguridad las determinará cada responsable de tratamiento.
Ya no bastará con cumplir, sino que habrá que demostrarlo, habrá que contar con las correspondientes evidencias de cumplimiento por medio de procedimientos diseñados para ello en función del riesgo de cada empresa.
CUADRO RESUMEN NOVEDADES RGPD | |
---|---|
AMBITO DE APLICACIÓN | Empresas Europeas y empresas de fuera de la UE que operen en la UE. |
NUEVOS PRINCIPIOS | Transparencia Acountability Privacidad por diseño |
NUEVOS DERECHOS PARA LOS INTERESADOS | Derecho a la transparencia de la información, Derecho de supresión (derecho al olvido), Derecho de limitación, Derecho de portabilidad |
CONSENTIMIENTO REFORZADO | Expreso por escrito |
MEDIDAS DE SEGURIDAD | En función del nivel del riesgo. Desaparecen los niveles de ficheros. |
BRECHAS DE SEGURIDAD | Obligación de notificar en 72 horas |
DPO | Obligatorio para ciertos sectores |
ENCARGADO DE TRATAMIENTO | Verificaciones de cumplimiento RGPD |
SANCIONES | 20 millones de euros o hasta el 4% del volumen de negocio del infractor |
Norlet Consulting. Febrero de 2018.