Es conocido el interés e inquietud que genera un cambio normativo del calibre de un reglamento en protección de datos. Lo cierto es que hemos recibido múltiples consultas y peticiones de información al respecto y creo que este resumen puede ser una base para poder aclarar los cambios.
En el presente artículo no vamos a descubrir nada que no esté ya comentado, ya que la información es variada, pero vamos a intentar dar unas claves básicas que cualquier organización debe saber o conocer para poder adaptarse al nuevo reglamento de protección de datos y ofrecer alguna documentación de interés al respecto para que sirva de base a cualquier organización.
En principio indicar que el nuevo Reglamento General de Protección de Datos (RGPD, por sus siglas en castellano y GDPR, por sus siglas en inglés) fue aprobado en abril de 2016 por la Unión Europea (Reglamento (UE) 2016/679 del 27/04/2016), constituyendo un nuevo marco jurídico, de obligado cumplimiento en todos los países de la unión para los ciudadanos de esta, que aumenta la protección y tratamiento de cualquier dato personal y su libre circulación, allí donde se encuentren, en un contexto de actividades profesionales. Se establecía un periodo transitorio para su implantación que concluye en mayo de este año. Por ello es de obligado cumplimiento a partir del 25 de mayo de 2018.
El nuevo RGPD tiene un ámbito enormemente amplio. Afecta no solo a empresas y usuarios de la unión, tanto públicas como privadas, sino que también el RGPD afecta a las empresas de fuera de la UE que ofrezcan bienes o servicios a personas de la UE o que controlen su comportamiento dentro de la UE. Por ejemplo, afecta directamente a las empresas estadounidenses que alojen sitios web accesibles para las personas de la UE
¿Qué cambios generales introduce?
De forma breve describimos algunas diferencias claves existentes entre la legislación de protección anterior (que no queda anulada sino complementada) y el nuevo RGPD.
ANTES (LOPD)
(RGPD)
Protege a los ciudadanos españoles
Protege a los ciudadanos de la unión europea
Requiere inscripción de fichero en la Agencia de Protección de datos.
Requiere registrar los tratamientos de ficheros y documentar los procesos de tratamiento ante la Agencia de Protección de datos.
Se aplica el derecho de información en la recogida de datos de forma expresa, precisa e inequívoca.
Se refuerza ese derecho respecto a las condiciones de tratamiento y también en cuanto a la respuesta a los ejercicios de derechos. Además, en su caso deberá informarse de datos adicionales como la existencia de un DPD (Delegado de Protección de Datos), en su caso, y sus datos de contacto. Definición ampliada de la finalidad del uso de los datos, de las posibles cesiones e incluso del tiempo de validez, plazos y criterios de conservación y uso de datos. Además de si recogida de datos es obligada para la relación contractual o un requisito legal.
No es necesario el análisis de riesgos.
En determinados casos es obligatorio realizar un análisis de riesgos sobre el tratamiento de los datos. En determinados es necesario realizar una Evaluación de impacto sobre la privacidad.
Se aplican los derechos ARCO:
- Información
- Acceso
- Rectificación
- Cancelación
- Oposición
Se refuerza con nuevos derechos:
- Derecho al olvido
- Derecho a la limitación de tratamiento
- Derecho a la portabilidad de los datos.
El consentimiento de los usuarios puede ser tácito o por omisión.
El consentimiento de los usuarios debe ser una declaración u otra acción afirmativa clara.
El consentimiento de menores se limita a los 14 años (España).
Ahora queda en los 13 años (España).
Ahora se entiende la protección desde el diseño. Todo los procesamientos, tratamientos y gestión de datos deben estar
No era necesario comunicar brechas de seguridad.
Ahora habrá que comunicar cualquier tipo de intromisión, perdida de información o hackeo grave de seguridad en un plazo máximo de 72h.
No era necesario que los datos se pudiesen portar entre encargados de tratamiento.
Ahora los usuarios tienen derecho a mover, copiar o transferir sus datos a cualquier otra empresa u organización.
En cuanto a los encargados del tratamiento El Reglamento de Desarrollo de la LOPD establecía la necesidad de diligencia debida en la selección de encargados.
Ahora, Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa).
En cuanto a las sanciones iban entre 900 y 600.000 euros.
Pueden llegar al 4% de la facturación anual mundial o 20 millones de euros.
De lo comentado, podemos observar como el cumplimiento influye e inunda todos los procesos que cualquier organización tiene en el tratamiento de los datos, por lo que debemos alejarnos de soluciones de software o similares que nos prometen una adaptación a la normativa. La organización debe buscar encargados de tratamiento, soluciones y cualquier tipo de herramienta que realicen un cumplimiento de la norma y en su caso sirvan de herramienta al cumplimento. Además, la organización debe analizar la necesidad de que las soluciones que se usan dentro de la organización deben estar enfocadas desde su raíz al cumplimiento y a la protección de datos desde el diseño.
De hecho, muchos proveedores de servicios están adaptando sus soluciones y procesos además de sus políticas de protección en aras a su adaptación plena a la normativa y hacer que las soluciones que aportan a las empresas y organizaciones estén preparadas desde el origen y diseño y faciliten el cumplimiento normativo a sus clientes y usuarios.
Además, en las siguientes infografías publicadas por la propia Agencia de protección de datos, podemos ver los pasos necesarios que las organizaciones debe dar para adaptar sus procesos al nuevo reglamento.
Adaptación RGPD Sector Privado
Adaptación RGPD AAPP
Listado de cumplimiento del RGPD
Información y contenido de interés para las organizaciones:
La Protección de datos en la Administración Local
Guía RGPD para los encargados de tratamiento
