El próximo 25 de mayo de 2018 entrará en vigor el nuevo Reglamento de Protección de Datos (RGPD). Supone una importante modificación en la forma en la que las organizaciones, e incluso los países, tendrán que gestionar la información confidencial de los ciudadanos de la Unión Europea.
Por desgracia, durante el año pasado se publicaron los resultados de varias encuestas que ponen de manifiesto algo preocupante.
Una buena parte de las empresas aún no están preparadas para el RGPD.
Y eso, teniendo en cuenta que el Reglamento está publicado desde el 25 mayo de 2016.
A pesar de proporcionar dos años de adaptación hasta la entrada en vigor, no se ha trabajado en ello.
- En junio del año pasado, Spiceworks concluyó que: alrededor del 64% de los responsables informáticos de las empresas europeas no estaban bien informados sobre la nueva normativa.
- Más recientemente, la empresa Atomik Research desveló que el 39% de las pymes no habían invertido tiempo en prepararse para el nuevo marco legal.
En concreto, el 20% de ellas carecía de personal cualificado en esta área tan importante. No solo eso, casi la mitad (un 46%) ni siquiera había establecido cómo utilizarían los datos personales para cumplir con el nuevo reglamento, o no estaban seguros de ello.
Parece que los dos años de margen han sido dos años de inactividad para muchos.
Por esta razón, nuestra intención es ayudaros a conocer el alcance de la nueva normativa.
Eso te permitirá evitar las importantes sanciones que el incumplimiento del nuevo Reglamento de Protección de Datos puede acarrear.
¿Cómo cambia este reglamento respecto a la actual Ley Orgánica de Protección de Datos (LOPD)? Vamos a verlo:
El Reglamento de Protección de Datos establece un nuevo sistema de recogida de datos personales
Por este motivo, las políticas de privacidad y el resto de cláusulas que se usan durante la recogida de datos personales, deberán incorporar una serie de modificaciones.
Las principales son:
- Los datos de contacto del delegado de protección de datos.
- El derecho a presentar una reclamación a la autoridad de control competente.
- El plazo durante el que se conservan los datos recogidos.
Y no son las únicas.
El nuevo consentimiento en la recogida de datos
A partir del nuevo Reglamento de Protección de Datos, el consentimiento se articula de un modo mucho más formal.
Se exige una acción proactiva por parte de la persona cuyos datos vamos a recoger, o no serán válidos.
Del mismo modo, el consentimiento se debe dar expresamente para cada una de las finalidades del tratamiento de datos.
Ampliación de los derechos de los interesados
El nuevo Reglamento de Protección de Datos amplía los derechos de los interesados de la siguiente manera.
Se mantienen los derechos tradicionales, es decir:
- Acceso a los datos.
- Rectificación.
- Supresión de los datos.
- Oposición.
Además, se ampliarán con los derechos a la:
- Limitación del tratamiento de datos.
- Portabilidad del dato.
La portabilidad complementa el derecho de acceso. No solo se puede acceder, sino que se debe hacer con un formato estructurado, de uso común y de lectura mecánica.
Ese derecho también implica que los datos personales podrían transmitirse de una entidad a otra sin pasar por el usuario.
Nuevas obligaciones organizativas
A partir de ahora, cualquier entidad que almacene y trate datos personales deberá adaptar su estructura organizativa.
¿Qué implica eso?
Que debe incorporar los siguientes elementos a la misma:
- Un delegado de Protección de Datos: Es la persona que proporcionará a la organización las directrices para la gestión global de la protección de datos. Puede ser un profesional externo.
- Un Registro de las actividades de tratamiento: Ese tratamiento se somete ahora a un control más exhaustivo. Todas las actividades que se hagan deberán quedar registradas y a disposición de las autoridades competentes si fuera necesario.
- Notificar las violaciones en la seguridad de los datos: cualquier brecha que se produzca en la seguridad debe ser comunicada a las autoridades. El plazo máximo para hacerlo será de 72 horas.
Con esta última medida se pretende paliar la falta de transparencia en muchas organizaciones, tras haber sido víctimas de un ataque informático.
De esta manera, se quiere saber enseguida a qué usuarios ha afectado la violación de seguridad y qué datos han quedado comprometidos. Así, dichos usuarios también podrán tener cierta capacidad de proteger esos datos.
Control de las transferencias internacionales de datos
En ese punto concreto, el nuevo Reglamento de Protección de Datos es menos estricto que la LOPD.
Hasta ahora, había un control, que precisaba de una autorización expresa de la Agencia de Protección de Datos, para esa transferencia internacional.
El uso de cláusulas tipo para hacerlas, emitidas por la Comisión Europea, la autoridad de control o las que queden recogidas por la normativa vinculante, permiten prescindir de esa autorización expresa.
La localización de la autoridad competente en tratamiento de datos
Con la entrada en vigor del nuevo Reglamento de Protección de Datos, es la localización del establecimiento principal de la empresa, o de su sede central de operaciones, la que determina cuál es la autoridad de control principal.
El nuevo régimen sancionador del Reglamento de Protección de Datos
Como ya he mencionado al comienzo, las sanciones por incumplimiento del RGPD se han visto fuertemente endurecidas.
Si la LOPD ya preveía importantes castigos, ahora pueden alcanzar hasta los 20 millones de euros, o el 4% de la facturación global de la empresa infractora.
El tratamiento de datos de menores
Por último, cabe destacar que el RGPD hace varias menciones explícitas al tratamiento de los datos de menores de 16 años.
Por ejemplo, la regulación respecto a los intereses legítimos del responsable, como base legal para el tratamiento de los datos, no se podrá aplicar cuando prevalezcan los derechos e intereses de los interesados, sobre todo si se trata de menores de edad.
La información a los interesados sobre la recogida y tratamiento de sus datos deberá ser:
- Transparente.
- Inteligible.
- Concisa.
- Proporcionada.
Esa claridad de lenguaje y sencillez primarán especialmente cuando los datos a recoger sean de menores de edad.
Del mismo modo, las autoridades de protección de datos deberán dar prioridad a las actividades de formación, y sensibilización, dirigidas a este segmento más vulnerable.
El Reglamento de Protección de Datos permite cierta flexibilidad a los estados cuando se trata de este tema.
Permite, por ejemplo, que se establezcan edades inferiores a los 16 años para prestar el consentimiento. Eso sí, nunca puede traspasarse el límite inferior de 13 años. En esos casos, siempre hará falta un consentimiento de los tutores legales.
Con asuntos como el de Cambridge Analytica y Facebook, el tema del tratamiento de datos personales está más en el punto de mira que nunca.
Con la entrada en vigor del nuevo Reglamento de Protección de datos, es de esperar que ese control se acentúe.
Si tu empresa aún no ha tomado las medidas oportunas para adaptarse al nuevo RGPD, te recomiendo que solicites urgentemente los servicios de un consultor profesional. Eso ayudará a acelerar el proceso, y garantizar que se cumple todo lo establecido cuando llegue la inminente entrada en vigor.
¿Estás preparado para el reglamento? ¿Ha cubierto tu empresa los puntos que hemos tratado?