¿Qué es el RGPD?

Estas cuatro letras traen de cabeza a las empresas especialmente en mayo de 2018. El nuevo Reglamento General de Protección de Datos de la Unión Europea (en adelante RGPD) quiere dar un mayor control de su información personal a los titulares de la misma. Las pequeñas y medianas empresas, los profesionales y autónomos actúan como responsables y encargados de tratamiento de datos personales en el desarrollo de muchas de sus actividades, y por tanto tendrán que seguir las directrices del nuevo reglamento.

Además, se amplían los límites geográficos. El RGPD afectará a cualquier persona o empresa que recopile o utilice datos personales de terceros de cualquier parte de la Unión Europea. Es decir, da igual que un servidor esté en EEUU o en China si se tratan datos personales de clientes de la UE la empresa en cuestión deberá proteger la información como establece el RGPD.

El RGPD se aplicará a todos los efectos a partir del 25 de mayo de 2018, se apruebe o no una ley específica en el parlamento español (de momento está en proyecto). En caso de conflicto entre ambas, siempre prevalecerá la legislación comunitaria.

¿Están preparadas las empresas?

Aunque la norma europea se aprobó en mayo de 2016, dos años después muchas empresas todavía desconocen esta normativa, y seguimos sin tener una ley española, hay que recordar que la LOPD es del año 1999 y la tecnología y procesamiento de los datos ha cambiado mucho desde entonces.

Según algunos estudios que hemos consultado, más de la mitad de las pymes españolas no están familiarizadas con el reglamento, y muchas de ellas no van a llegar a tiempo a adaptarse a la normativa. Algunas ni se han puesto manos a la obra.

Hay que tener en cuenta que la adaptación al RGPD no consiste en cumplir un trámite rellenando formularios, de hecho pretende cambiar ese concepto a las empresas que gestionan datos personales para que integren un su día a día la cultura por la privacidad desde el momento en que empiezan a gestionar los datos.

Uno de los principales objetivos del nuevo RGPD es ofrecer más garantías al ciudadano sobre la utilización de sus datos personales por parte de las empresas y, en consecuencia, establecer para el empresario el principio de responsabilidad proactiva.

 Novedades del RGPD

Las novedades son muchas, una de las más importantes tiene que ver con el consentimiento.

El consentimiento es definido por el nuevo Reglamento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Se acabaron los textos largos e ilegibles, esos que se firman sin apenas leerlos. El consentimiento deberá ser de fácil acceso y con un lenguaje claro y sencillo.Además, ese consentimiento debe darse explícitamente y también deberá poder ser retirado por el usuario de forma fácil. Por tanto ya no se admite consentimiento tácito ni genérico.

La información que se ofrece a los interesados cuando se recogen sus datos (por ejemplo, en formularios web o papel) debe revisarse, pues se ha reforzado la transparencia hacia el interesado, siendo la información a facilitar más amplia que la requerida hasta ahora.

Con la nueva norma se debe garantizar la portabilidad de los datos de un servicio a otro si el cliente lo pide. Es decir, cada usuario puede retirar los datos al cancelar un servicio o trasladarlos a otra plataforma.

Se da mucha importancia al “derecho al olvido”, facilitando que la información personal se elimine cuando lo requiera su titular, salvo que esa información sea de interés público.

Con el RGPD desaparece la obligación de registrar los ficheros o tratamientos en la Agencia de Protección de Datos pero se establece la necesidad de llevar un Registro interno de Actividades de Tratamiento que contendrá cuestiones como:

  • Nombre y datos de contacto del responsable y del Delegado de Protección de Datos si existiese
  • Finalidades del tratamiento
  • Descripción de categorías de interesados y categorías de datos personales tratados
  • Transferencias internacionales de datos…

Hasta ahora las medidas de seguridad se establecían en función de tres niveles (Básico, Medio y Alto). Sin embargo, el RGPD no establece cuáles han de ser las medidas de seguridad, sino que indica que:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.”

Es decir, es necesario efectuar un análisis de riesgo para los derechos y libertades de los ciudadanos de todos los tratamientos de datos que se lleven a cabo, revisando las medidas de seguridad que actualmente se estén aplicando y, en su caso, completándolas a la luz de los resultados del análisis de riesgo.

Existen diferentes metodologías para la realización de análisis de riesgos, como puedes leer en esta guía elaborada por el INCIBE (Instituto Nacional de Ciberseguridad) Gestión de riesgos. Una guía de aproximación para el empresario”.

El RGPD también prevé la necesidad de efectuar una Evaluación de Impacto sobre la Protección de Datos con anterioridad a su puesta en marcha de nuevos tratamientos, siempre que puedan suponer un alto riesgo para los derechos y libertades de los interesados. El RGPD determina algunos de los casos en que se presumirá que existe ese alto riesgo y prevé que las autoridades nacionales de protección de datos publiquen listas de otros tratamientos de alto riesgo.

Se obliga a las empresas a notificar en 72 horas las brechas de seguridad sufridas que supongan el robo de información personal de sus clientes.

Todos los organismos públicos y ciertas empresas que manejan un volumen significativo de datos tendrán que  nombrar un Delegado de Protección de Datos (DPD) que actuará como intermediario entre las autoridades, los clientes y la propia empresa.

No es obligatoria para todo el mundo, se establece tres supuestos concretos.

  • Autoridad u organismo público (administraciones públicas, principalmente).
  • La actividad principal del responsable o encargado del tratamiento requiera tratar datos de manera habitual y analítica.
  • Tratamiento a gran escala de datos especialmente protegidos (ideología, etnia, afiliación sindical, salud…) o relativos a infracciones penales.

Podrá ser una tercera empresa contratada, una persona física externa o parte del personal de la empresa. La AEPD ha creado un sistema de certificación que permite certificar que estos delegados reúnen la cualificación profesional y los conocimientos requeridos para ejercer esa función.

Se establece un  enfoque de responsabilidad proactiva, la protección de datos debe ser desde el diseño y por defecto es decir hay que pensar en ella desde que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.

¿Qué tengo que hacer? Pasos a seguir

Para facilitar la adaptación de las empresas la Agencia Española de Protección de Datos ha creado una herramienta denominada Facilita_RGPD y establece unas pautas para facilitar la adaptación de las empresas que compartimos a continuación:

  1. Designar del DELEGADO DE PROTECCIÓN DE DATOS (DPD) si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, identificar a la persona responsable de COORDINAR LA ADAPTACIÓN.
  2. Elaborar el Registro de Actividades de Tratamiento.
  3. Realizar un ANÁLISIS DE RIESGOS (guía práctica).
  4. Revisar MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos
  5. Establecer mecanismos y procedimiento de NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD
  6. A partir de los resultados del análisis de riesgos, realizar, en su caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS (guía práctica).

Y simultáneamente también habrá que

. Adecuar los FORMULARIOS (guía práctica derecho de información).

. Adaptar los MECANISMOS Y PROCEDIMIENTOS para el ejercicio de derechos . Valorar si los ENCARGADOS ofrecen garantías (guía práctica adaptación de contratos).

.  Elaborar / Adaptar la POLÍTICA DE PRIVACIDAD.

En todo caso, es imprescindible documentar todas las actuaciones realizadas para poder acreditar la diligencia en el cumplimiento del RGPD.

Sanciones millonarias

Las multas podrán llegar a los 20 millones de euros o al 4% de la facturación global de la compañía. Hasta ahora,  la multa máxima en materia de protección de datos en España era de  600.000 euros.

La Agencia Española de Protección de Datos agrupa aquí la información y las diferentes iniciativas que puesto en marcha sobre el RGPD, de forma que tanto ciudadanos como organizaciones públicas y privadas puedan localizar con mayor facilidad materiales de utilidad en relación a la nueva normativa.

Si la adaptación al RGPD te da dolor de cabeza, puedes consultarnos y te orientaremos acerca de su cumplimiento.