Ley de protección de datos. Un tema algo tedioso que seguramente te seduce más bien poco. Y es que, desde el pasado 25 de Mayo con la entrada en vigor del GPDR o RGPD (Reglamento General de Protección de Datos), sabes que tarde o temprano tendrás que enterarte de cómo te afecta y qué se supone que tienes que hacer a partir de ahora.
No me gusta parecer presuntuosa, pero esta es una buena ocasión para conocer tus nuevos derechos y obligaciones, así que ¡dame una oportunidad!. Te explicaré de la forma más “friendly” posible, en qué consiste y cuales son los principales cambios que introduce el RGPD.
¿Qué es el Reglamento General de Protección de Datos?
“Una regulación común para todos”
El RGPD es una nueva regulación en materia de protección de datos que afecta a todas las empresas que operan con datos personales en la Unión Europea (UE), con independencia de dónde tengan su sede. Su objetivo fundamental es ofrecer más control a los usuarios sobre su información personal en el contexto del entorno digital (big data, redes sociales, geolocalización a través de dispositivos, etc…) al tiempo que se reducen cargas administrativas y se facilita la aplicación por parte de las empresas.
El RGPD introduce, entre otros aspectos, conceptos como la figura del DPO, establece una serie de medidas nuevas (análisis de riesgos, evaluación de impacto,…), nuevas sanciones o nuevos derechos para los usuarios.
Si te interesa, puedes ampliar información consultando la publicación oficial del BOE sobre el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
¿El RGPD sustituye a la LOPD?:
Si y no. La finalidad del RGPD no es sustituir a la LOPD. Esta nueva normativa no es ni más (ni menos) que un marco común para todos los países de la Unión Europea, pero luego será cada país el que, con su regulación interna, delimite o aclare todos aquellos puntos difusos o más debatidos. Esto quiere decir, que en España deberían aprobar y publicar una “nueva LOPD” en los próximos meses.
Novedades del Reglamento europeo de Protección de Datos:
Aunque el RGPD introduce muchas novedades, entre las más significativas están:
Nuevos principios:
- Principio de responsabilidad (Accountability): las empresas deben implementar nuevos mecanismos que permitan verificar que han adoptado todas las medidas necesarias para tratar los datos personales (desarrollar nuevas políticas, procedimientos, soluciones tecnológicas, controles,…).
- Principio de protección de datos por defecto y desde el diseño: las empresas deben adoptar medidas que garanticen el cumplimiento de esta normativa desde el mismo momento en que se diseñe un producto, servicio o actividad que implique el tratamiento de datos.
- Principio de transparencia: todos los usuarios deben estar informados del tratamiento que se hace de sus datos. Las empresas deben trasladarles esta información de forma clara y precisa, con un lenguaje natural y comprensible. Esto quiere decir, que se acabaron los textos infinitos e incomplensibles. ¡Hola textos “friendly”!
Nuevas obligaciones para las empresas:
- La figura del Delegado de Protección de Datos (DPD): las empresas deben incorporar una nueva figura en su organización. Se trata del Delegado de Protección de Datos (DPD), cuyas funciones principales se centrarán en informar y asesorar, supervisar el cumplimiento de esta nueva ley y actuar como interlocutor entre la empresa y los usuarios, para que éstos puedan ejercer sus derechos.
- Análisis de riesgos y evaluaciones de impacto: con la era digital han aumentado los riesgos de que los datos personales circulen por Internet sin la protección necesaria. Con la entrada en vigor de esta ley, todas las empresas están obligadas a realizar un análisis de riesgos (tanto informáticos, como de seguridad) e implantar las soluciones para evitar, bloquear o neutralizar cualquier tipo de ataque informático. Estos análisis deben ser periódicos y se realizarán siempre que se produzcan modificaciones tecnológicas en la empresa.
- Seguridad: la empresas deben adoptar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En caso de violación de la seguridad, la empresa debe notificarlo en un plazo máximo de 72h a la Autoridad de Control correspondiente. La comunicación a los usuarios es obligatoria si existe probabilidad de alto riesgo.
- Categorías de datos: los datos se dividen en “tres niveles”, básicos (cualquier tipo de información relativa a una persona como por ejemplo el nombre, el email…), especiales (origen étnico, racial, datos genéricos o biométricos, religión, salud, orientación sexual…) y penales (condenas).
- Transferencia internacional de datos: las empresas están obligadas a establecer garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la Unión Europea. Puedes consultar la web privacyshield.gov para saber qué empresas están adheridas al convenio Privacy Shield que garantiza la transferencia internacional de datos con ciertas medidas de seguridad.
- Desaparecen los ficheros: los ficheros de datos se sustituyen por un Registro de Actividades de Tratamiento a nivel interno. Puedes utilizar la herramienta FACILITA para hacerlo.
- Sanciones: aumentan las cuantías de las sanciones por incumplimiento de la nueva normativa, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual de la empresa.
Nuevos derechos para los usuarios:
- Transparencia e Información: los usuarios tienen derecho a solicitar a las empresas información sobre quién es el responsable de custodiar sus datos, con qué finalidad los usa y durante cuánto tiempo los guarda.
- Del consentimiento por omisión al consentimiento explícito: el tratamiento de los datos personales se basará siempre en el consentimiento del usuario. Esto quiere decir, que los usuarios deben dar a las empresas su consentimiento expreso o realizar algún tipo de acción afirmativa para que puedan hacer uso de sus datos personales, ¡se acabó el consentimiento tácito o por omisión ante la falta de respuesta!. El responsable del fichero debe ser capaz de acreditar que obtuvo el “consentimiento claro y afirmativo” necesario para recoger los datos del usuario. Además, para el tratamiento de datos de menores, el RGPD requiere el consentimiento explícito de los padres (o tutores) siempre que el niño sea menor de 16 años.
- Derecho al olvido: el usuario tiene derecho a revocar el consentimiento prestado para el tratamiento de sus datos personales en cualquier momento, pudiendo exigir la supresión o eliminación de sus datos.
- Derecho a la limitación del tratamiento: el usuario tiene derecho a solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
- Portabilidad de datos: el usuario puede exigir la portabilidad de sus datos de una empresa a otra, de manera que siempre sea el, como usuario, el que tenga el control sobre la información que gestionan posibles terceros.
- Reclamaciones: si el usuario considera que el tratamiento de sus datos no se ajusta a la nueva normativa de aplicación, podrá interponer una reclamación ante la Agencia Española de Protección de Datos (AEPD)
¡Y hasta aquí hemos llegado!. Ya solo me queda darte las gracias por leer este artículo sobre el RGPD. Próximamente espero retomar este tema y entrar más al detalle, mientras tanto, plantéate alguna formación específica en seguridad de la información.
Si el artículo te ha resultado útil ¡compártelo!. Y si tienes cualquier pregunta, no dudes en dejar un comentario 😉