Adaptacion a LOPD

Adaptación a LOPD, RGPD y LSSICE. Normativa de protección de datos

La protección de datos es un derecho fundamental. Busca proteger la intimidad y privacidad de las personas físicas frente a las vulneraciones que puedan producirse por la recogida, almacenamiento y uso indiscriminado de sus datos personales.

Hasta ahora, las empresas y profesionales que, en el desarrollo de su actividad tratasen datos personales, sabían que era obligatoria su adaptación a LOPD. Debían cumplir lo indicado en la LOPD (Ley Orgánica de Protección de Datos) y en su Reglamento de desarrollo (RD1720/2007).

También están las empresas o autónomos que realizan actividades económicas por Internet u otros medios telemáticos. Ellos, además, debían cumplir con la LSSICE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico).

Esto es especialmente relevante para las tiendas online (e-commerce).

Hablamos de datos personales de clientes, trabajadores de la empresa, futuros clientes, personas que se han interesado por nuestros servicios…

Nueva normativa: el RGPD de la UE

Pero en breve, esta adaptación a LOPD no será suficiente.

El próximo 25 de mayo de 2018 es la fecha límite de aplicación del nuevo Reglamento Europeo 679/2016 de Protección de Datos (RGPD). Se cumplen los dos años de margen que se fijaron desde su entrada en vigor para adaptación al mismo.

Así, antes de esa fecha, empresas, autónomos y comunidades de propietarios deben realizar la adaptación a LOPD, RGPD y LSSICE.

Este cambio se hace para armonizar normativas de los estados miembros y dar más garantías de control a los ciudadanos.

En paralelo a la aplicación del RGPD, se ha aprobado la nueva LOPD, que complementa en algunos aspectos al RGPD.  Entrará en vigor el mismo día que el RGPD, es decir, el 25 de mayo de 2018.

Sabemos que empresas, autónomos y profesionales tienen dudas sobre cómo cumplir con la nueva normativa de protección de datos. Por eso, queremos ayudaros a entender fácilmente cuáles serán estos cambios y sus implicaciones prácticas.

A continuación mostramos un resumen de los aspectos que creemos más importantes, respondiendo a vuestras dudas.

1) ¿Aplicar la nueva normativa supone más trabajo para mi empresa?

El RGPD supone un mayor compromiso de empresas y autónomos con la protección de datos. Aunque no necesariamente tiene que implicar más carga de trabajo.

Si actualmente gestionamos los datos personales correctamente, la nueva normativa será continuación o reemplazo de las medidas que estamos aplicando.

2) Obtención del consentimiento.

Es uno de los cambios más relevantes que trae el nuevo RGPD.

Hasta ahora había varias formas para obtener el consentimiento para el tratamiento de datos personales. Con la nueva normativa, solo podrá hacerse mediante declaración de los interesados o una acción positiva que indique su acuerdo.

Se prohíben prácticas como el consentimiento tácito o por inacción del interesado. No podremos volver a ver textos como éste: ‘si en 30 días no nos da su negativa al tratamiento de sus datos, entenderemos que consiente…

En las páginas web podrá seguirse utilizando las casillas para la obtención del consentimiento, pero no las casillas pre-marcadas.

Además, el consentimiento deberá darse separadamente para cada una de las finalidades de tratamiento y debe ser verificable. Es decir, el particular debe dar un consentimiento para que le envíes una newsletter. Otro diferente para participar en un sorteo. Otro diferente para estar en la base de datos de clientes, etc. ¡Cuidado con esto porque pueden ser necesario que la persona marque varias casillas y no una, como hasta ahora!

Si el consentimiento obtenido hasta hoy es conforme a estos requisitos, no será necesario obtenerlo de nuevo.

Aconsejamos estudiar cada caso por separado. En algunos, puede que no sea necesario el consentimiento explícito porque el tratamiento se realiza bajo el amparo del interés legítimo o por la ejecución de un contrato.

En caso de duda, consultadnos.

3) Cláusulas informativas y avisos de privacidad.

Es fundamental revisar las cláusulas informativas y avisos legales, tanto en webs como en otros soportes.

Deberán incluir cuestiones que hasta ahora no eran obligatorias:  base jurídica del tratamiento, plazo de conservación, criterios para su determinación…

Además, deberán ser concisas, transparentes, inteligibles, accesibles, con un lenguaje claro y sencillo, por escrito y de acceso gratuito.

4) Qué hacer en los contratos con terceros encargados de tratamiento (ET).

Los encargados de tratamiento (ET) son todos los terceros que nos prestan un servicio con acceso a datos personales.

Recomendamos firmar nuevos contratos con adaptación a LOPD y RGPD con todos los encargados de tratamiento.

Estos contratos deberán incluir novedades: descripción detallada de los servicios prestados, medidas aplicadas, posibles transferencias internacionales de datos, subcontrataciones, etc.

5) Niveles de seguridad de los datos.

El nuevo RGPD no habla de 3 niveles de los datos, como sí hacía la LOPD (básico, medio, alto). Allí se refería a diferentes niveles para aplicar en cada uno medidas de seguridad más o menos intensas.

El RGPD mantiene la categoría de nivel alto y pasa a englobarla en las “categorías especiales de datos”. Además, los datos genéticos y datos biométricos pasan a estar dentro de estas categorías especiales que requieren un tratamiento especial.

6) Medidas de seguridad que hay que aplicar.

El RGPD no habla de unas medidas de seguridad específicas. Sí que aparece el concepto de responsabilidad proactiva (accountability).

Implica que quienes traten datos personales deben aplicar las medidas necesarias para garantizar los criterios de seguridad correspondientes: confidencialidad, integridad, disponibilidad y resiliencia.

Estas son algunas medidas que recomendamos para asegurar el cumplimiento del RGPD:

– La empresa debe tener en cuenta las cuestiones relacionadas con la protección de datos personales en su toma de decisiones.

– Hacer una protección de datos por defecto y desde el diseño.

– Tener unas medidas de seguridad técnico-organizativas.

– Mantener un registro de actividades de tratamiento de datos.

– Realizar un análisis de riesgos y evaluaciones de impacto. Recomendable cuando sea probable que el tratamiento presente un alto riesgo específico para los derechos y libertades de los interesados. Por ejemplo, con los datos englobados en las categorías especiales de datos o con colectivos que requieran más protección (menores).

– Nombrar un delegado de protección de datos (DPO). Esto lo desarrollamos más adelante, en el punto 10).

– Realizar la notificación de violaciones de la seguridad de los datos a los perjudicados.

– Tener documentadas, actualizadas y aplicadas en todo momento estas medidas de seguridad.

7) Registro de ficheros en la AEPD.

La actual obligación de inscribir los ficheros en la Agencia de Protección de Datos (AEPD) desaparece a partir del 25 de mayo.

El RGPD obliga al responsable de tratamiento (RT) y al encargado de tratamiento (ET) a llevar un ‘registro de actividades de tratamiento’. Este registro debe tener un contenido mínimo regulado por la normativa. Sería, de algún modo, el equivalente al actual ‘documento de seguridad’.

8) Nuevos derechos: olvido y portabilidad.

La LOPD contemplaba los llamados derechos ARCO de los titulares de los datos (acceso, rectificación, cancelación y oposición).

El RGPD introduce dos nuevos conceptos. El derecho al olvido, que son los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet. El derecho a la portabilidad, que permite al interesado recuperar sus datos de forma estructurada para trasladarlos a otro responsable.

9) Régimen de sanciones.

El régimen de sanciones será variable y las sanciones podrán ponderarse en función del volumen de negocio de la empresa.

Podrán ser sanciones directas (hasta 20.000.000€) o bien un porcentaje del volumen neto de la cifra de negocio de la empresa el ejercicio anterior (entre un 2% y un 4% de dicho valor).

10) Qué es el Delegado de Protección de Datos (DPO).

La empresa o autónomo debe designar un Delegado de Protección de Datos (DPO) obligatoriamente solo en estos casos:

– Cuando se trate de una autoridad u organismo público (excepto en tribunales cuando actúen en su función jurisdiccional).

– Si sus actividades principales consisten en operaciones que requieren una observación habitual y sistemática de interesados a gran escala. Por ejemplo, empresas que desarrollen actividades de publicidad y prospección comercial.

– Si sus actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos personales. Por ejemplo, Centros de Formación dentro del ámbito de la Ley 2/2006 de Educación. También empresas que traten de manera habitual, sistemática y en gran medida, datos sobre ideología, sexo, condición religiosa, política o sindical, salud, datos biométricos o genéticos.

El Delegado de Protección de Datos puede ser interno o externo. Es decir, se puede contratar el servicio si la empresa no dispone de recursos propios para llevarlo a cabo.

Debe designarse atendiendo a sus cualidades profesionales y a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos.

La AEPD publicó en julio el Esquema de Certificación de Delegados de Protección de Datos. Ahí establece un mecanismo de certificación para esta nueva figura que será relevante dentro de las empresas.

Recomendamos informaros para valorar bien qué implica para nuestro negocio el RGPD y si realmente necesitáis contar con un DPO.

 

Contactad con nosotros para asesoraros o para contratar el servicio de adaptación a LOPD, RGPD y LSSICE.

 

 



Compartir