El 25 de mayo del 2018 es la fecha límite para que las empresas se adapten al nuevo marco europeo para la Protección de Datos. El nuevo reglamento denominado RGPD (Reglamento General de Protección de Datos) eleva la cuantía de las multas en caso de incumplimiento, de los 600.000€ de la antigua LOPD a una cifra que puede alcanzar los 20.000.000€.
Entre las novedades de la nueva normativa, el RGPD, se encuentra la obligación de consentimiento expreso, dependiente de una acción afirmativa y clara (como por ejemplo confirmar una suscripción de e-mail, doble check para el tratamiento comercial de datos…) que implica que TODAS las empresas que dispongan de datos (desde un e-mail o teléfono hasta informes médicos) deban diseñar y adoptar una ADAPTACIÓN al nuevo reglamento, atendiendo al tipo de dato, facilitando los derechos de acceso, rectificación, oposición, supresión (el conocido como Derecho al Olvido) o la posibilidad de portabilidad de datos.
Facebook, Twitter, Google… el nuevo RGPD obedece a una realidad tecnológica y social: el aumento de datos personales circulando por la Red. Desde tus gustos o aficiones, hasta tus ideas políticas, raza, religión o datos médicos. La información personal, en sus distintos grados, deberá adecuarse en su forma de archivo, manipulación o tratamiento, al nuevo marco reglamentario.
Frente a este nuevo marco globalizado, era necesario regular y proporcionar seguridad a los ciudadanos europeos, con un reglamento único, que se aplicase en todo el territorio comunitario.
Contenidos
El RGPD está a la vuelta de la esquina. ¿Está la empresa preparada?
El 25 de mayo entra en vigor la nueva normativa de protección de datos, el reglamento europeo aplicable en todos los Estados miembro. Si bien las grandes compañías llevan meses preparando la adaptación al nuevo RGPD, el entorno de pequeñas y medianas empresas todavía está sin adaptar. Todas las entidades, desde la más pequeña hasta la multinacional deben cumplir con el reglamento.
Analizamos las principales diferencias entre la LOPD y el RGPD
→ Sanciones del RGPD
La LOPD establecía sanciones que podían variar, según el grado de incumplimiento, de 900€ a 600.000€. Con el nuevo RGPD las sanciones pueden situarse en 20.000.000€.
→ Ámbito de actuación
La LOPD tenía un ámbito de aplicación dentro del territorio nacional, mientras que el RGPD abarca todos los países miembros de la Unión Europea. La LOPD tenía como autoridades de supervisión, además de la AEPD, las agencias catalana y vasca. Ahora, con el RGPD existirá una única ventanilla por país.
→ Responsable de Protección de Datos
Con la LOPD sólo era necesaria la figura del Responsable de Seguridad para el tratamiento de datos de niveles medio y alto. Con el RGPD nace el puesto del Delegado de Protección de Datos (DPO) obligatorio en distintos supuestos. El DPO (Data Protection Officer) es una figura de nueva creación, responsable de conocer los datos que se manejan y cómo se tratan, un puesto que puede formar parte de los proveedores de servicios de una empresa o compañía.
→ Tipo de tratamiento de los datos y tipo de consentimiento
Mientras que en la antigua LOPD el enfoque del tratamiento de los datos era reactivo, con el RGPD el tratamiento debe ser proactivo, es decir es la propia compañía la que tiene que asumir el mando para poder garantizar y demostrar el tratamiento adecuado de los datos.
El consentimiento de los interesados pasa de ser tácito (previa información, se da por supuesto el consentimiento si no se opone a ello) a un consentimiento expreso, dependiente de una acción afirmativa clara y fehaciente (rellenar un formulario, aceptar o no mediante check obligatoriamente o confirmar mediante e-mail)
→ Registro de datos e incidencias de seguridad
Mientras que con la LOPD el registro de los datos debía efectuarse mediante inscripción obligatoria de los ficheros en la Agencia Española de Protección de Datos, con el nuevo RGPD el registro es a nivel interno, tanto de las actividades efectuadas como de la gestión de esos datos.
En caso de existir una brecha de seguridad, como puede ser un ciberataque, la entidad deberá obligatoriamente comunicar dicha incidencia a la Agencia Española de Protección de Datos, en un plazo de 72 horas.
→ Niveles de seguridad
Con el RGPD se amplían los datos calificados como «de nivel alto», ahora denominados «datos especiales» a los genéticos y biométricos, que se suman a los que ya figuraban en el nivel más alto de protección, que son los de origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos de salud u orientación sexual.
→ Análisis y evaluación
La LOPD no obligaba a un análisis de evaluación de impacto, pero con el RGPD será obligatoria en determinados supuestos. Además, el profesional, empresa u organización deberá realizar sí o sí un análisis de riesgos, efectuado por un consultor especialista, que pueda evaluar el riesgo, por ejemplo, de sufrir determinados ciberataques.
→ Derechos para el ciudadano
Si algo caracteriza a este nuevo RGPD es que las personas tendrán un mayor control sobre quién, cómo y durante cuánto tiempo almacena sus datos personales, pudiendo ejercer su derecho a acceder a esos datos, rectificarlos, suprimirlos, así como la limitación en el tratamiento o su portabilidad.
Además, el nuevo reglamento amplía los plazos en el ejercicio de esos derechos, que pasan de 15 días-1 mes con la vieja normativa a ampliarse hasta los 2 meses.
→ Responsabilidad proactiva
Las entidades deberán adoptar las medidas que sean necesarias de forma proactiva, desde el principio de los tratamientos de datos. Los responsables y encargados deberán ofrecer así todas las garantías del tratamiento conforme al RGPD.
Y con todo lo que supone el nuevo RGPD, ¿qué puedo hacer yo para adaptarme?
Nuevas medidas técnico-organizativas, nuevos contratos, nuevos principios, nueva documentación, nuevos textos legales, adaptación de formularios en las páginas web y en papel… Las exigencias en cuanto al cumplimiento de la Protección de Datos implica una adaptación formal y reglamentada. Para ello, resulta indispensable invertir en una consultoría especializada en Protección de Datos y Privacidad, que pueda analizar con qué datos cuentas, que sistemas de protección debes implementar, que tratamientos efectúas y qué pasos debes llevar a cabo, para adaptarte al nuevo Reglamento Europeo de Protección de Datos antes de la fecha tope: 25 de mayo del 2018.
muchas gracias por la informacion.
¡Gracias a ti por tu valoración! 😉