Ya ha comenzado la cuenta atrás para la implantación del Reglamento Europeo de Protección de Datos (RGPD, también se puede encontrar como GDPR). Este marco legislativo será aplicable a partir del 25 de mayo de 2018, por lo que es de muy cercana implantación.
En el RGPD se indican los límites de invasión en la privacidad de las personas de dentro de la Unión Europea. Con esto en mente, se presenta la siguiente duda: ¿está mi empresa preparada para adoptar este reglamento?
Antes de nada es conveniente que sepamos qué significa el RGPD.
¿Qué significará el RGPD?
Este marco jurídico buscará reforzar los derechos individuales de los ciudadanos europeos en materia de gestión de datos y privacidad. Como a día de hoy cualquier empresa cuenta con datos confidenciales de sus clientes, prácticamente todos somos susceptibles al cambio legislativo.
Este Reglamento Europeo busca modernizar la normativa europea en base a la unificación legislativa. Así, se dará un paso más en la consolidación de un entorno digital unitario.
El objetivo de todo esto es que el usuario sea consciente de a quién le está dando qué información, y por supuesto, la posibilidad de recuperarla de los servidores. Esto hace que se incremente la confianza online de los usuarios.
Un hecho importante es que necesitará adaptarlo cualquier empresa que opere con datos de ciudadanos europeos. Es decir, tendrá que incluirse en este marco tanto un hotel de Teruel que registra los datos de sus clientes como una empresa americana como Google que trata datos de ciudadanos europeos.
¿Y dónde queda en todo esto la Ley Orgánica de Protección de Datos? Claro está, desde los estamentos europeos la han considerado y han pensado en hacerla retrocompatible con la LOPD. Esto hace que no nos valga ampararnos en el marco jurídico español.
¿Y a qué me enfrento si mi empresa no cumple con el RGPD?
La UE ha considerado los datos personales y su correcta gestión de gran importancia. Por eso mismo, las agencias de protección de datos en cada país europeo impondrán sanciones administrativas elevadas a quienes no lo sigan. El Artículo 83 del Reglamento establece multas que pueden ser hasta un máximo de:
- O bien de 20 millones de euros.
- O una cuantía del 4% del volumen total anual de negocio como máximo.
Se aplicaría, según establece el artículo, la que fije la mayor cuantía. Debido a estas cifras que pueden hacer temblar cualquier negocio, lo mejor es adaptarse a esta normativa cuanto antes.
Si bien es cierto que el RGPD es un documento muy extenso, en Agile Control Solutions queremos sacar a relucir 5 aspectos que hemos considerado muy relevantes del mismo.
Las 5 novedades más importantes del RGPD
1. Obtener el consentimiento para el tratamiento de datos
Actualmente, la LOPD exige el consentimiento explícito de los usuarios para el tratamiento de los datos. Sin embargo, en caso de que no sean sensibles, se da por hecho que hay un consentimiento tácito. Y el RGP reafirma este asunto.
Sin embargo, esta nueva normativa exigirá que el consentimiento sea inequívoco. Es decir, tendrá que existir una declaración o acción que considere positiva su conformidad.
Esto significa que casillas ya marcadas, silencios inacción no serán ya más pruebas de consentimiento, tal y como explica el Considerando 32 de este marco jurídico.
En lo referente al consentimiento, la ley tiene carácter retroactivo. Es decir, la empresa tendrá que volver a pedir los permisos para usar sus datos, bajo los nuevos estándares (salvo que cuente con otra base legal para tratar dichos datos). Y si no se cumple, la sociedad se expone a posibles multas como las que hemos mencionado arriba.
2. Nuevos derechos de los ciudadanos
La LOPD estableció los llamados derechos ARCO: Acceso, Rectificación, Cancelación y Oposición.
Estos se verán ampliados con la entrada en vigor de la nueva legislación, ya que, además de los ARCO, se incluirán otros cuatro derechos más: derecho a la transparencia de la información, de limitación, de supresión (derecho al olvido), y de portabilidad. Estos dos últimos son los que acarrearán consigo más modificaciones:
- En base a lo establecido en el artículo 17 del RGPD, cualquier persona va a tener el derecho a que cualquier información personal sea eliminada, siempre que quien la tenga no pueda retenerlo por motivos legales.
- El artículo 20 habla del derecho a la portabilidad. Este contempla la posibilidad de pasar los datos de un responsable a otro. Esto hará que el interesado tenga derecho a que sus datos se transmitan directamente.
Además de estos nuevos derechos, también se exigirá que se hagan procedimientos accesibles y con un lenguaje comprensible para todo el mundo. Todo, pretende esta normativa, con el fin de facilitar el ejercicio de los derechos.
3. Obligatoriedad de una evaluación de impacto en el tratamiento de datos personales
El RGPD obliga a realizar una evaluación de impacto para aquellas organizaciones y empresas que hagan tratamientos de datos que impliquen alto riesgo para derechos y libertades de las personas.
En este punto, hay que evaluar aspectos como la naturaleza, el origen, al particularidad y la gravedad de ese peligro. Así lo estima el Considerando 84 del Reglamento.
¿No sabes por dónde empezar? La Agencia Española de Protección de Datos tiene publicada una Guía para evaluar el impacto en la protección de datos. En este documento vienen registradas las bases y temas fundamentales que han de tener en cuenta quienes tengan que realizar esta evaluación.
4. Fijar mecanismos para garantizar la seguridad de los datos
El Reglamento europeo especifica que se usen medidas de seguridad teniendo en cuenta varios aspectos como los costes de aplicación, la naturaleza o fines del tratamiento, etc.
Todo para que no se ponga en riesgo los derechos y libertades de los ciudadanos europeos. Sin embargo, no concreta qué tipo de medidas han de aplicarse pero sí que han de ser medidas técnicas y organizativas apropiadas.
Por otro lado, exige que se aplique este tratamiento de forma proactiva, por lo que los datos obtenidos con anterioridad también necesitarán esa protección. Esto lo explica el Reglamento en el Artículo 5.2, cuando habla del principio de responsabilidad proactiva.
5. La creación del Delegado de Protección de Datos
EL RGPD se centra en parte en la consolidación de una nueva figura, el Delegado de Protección de Datos. Este nuevo perfil, encargado y asesor de la protección de la información de la empresa, será quien controle y coordine el cumplimiento de esta normativa.
Sin embargo, el DPD no es obligatorio en todas las organizaciones. Según el Reglamento, solo tendrán que contar con este asesor los entes públicos, con un gran volumen de datos o que tengan datos muy sensibles de los clientes como información médica o penal.
Entre sus funciones cabe destacar la supervisión de las políticas internas, la coordinación de auditorías y la gestión de la información de los ciudadanos y usuarios.
Esta figura podrá ser interna en la empresa o recurrida en calidad de asesor externo.
