Adaptación a RGPD

Adaptación a RGPD. La vigente normativa sobre protección de datos

¿Adaptación a RGPD? ¿No dejas de oír esa frase desde hace meses? Empecemos por el principio…

La protección de datos es un derecho fundamental, reconocido así por la UE. Este reconocimiento busca proteger la intimidad y privacidad de las personas físicas frente a las vulneraciones que puedan producirse por la recogida, almacenamiento y uso indiscriminado de sus datos personales.

Hasta mayo de 2018, las empresas y profesionales que, en el desarrollo de su actividad tratasen datos personales, sabían que era obligatorio cumplir con la LOPD y la normativa de desarrollo. Estamos hablando de la ya derogada Ley Orgánica de Protección de Datos 15/1999, así como de su Reglamento de desarrollo (RD1720/2007).

Al hablar de datos personales nos referimos a clientes, trabajadores de la empresa, futuros clientes, personas que se han interesado por nuestros servicios, etc.

Y las empresas o autónomos que realizasen actividades económicas por Internet u otros medios telemáticos, además, debían cumplir con la LSSICE (Ley 34/2002 de Servicios de la Sociedad de la Información y el Comercio Electrónico). Esto es especialmente relevante para todos los negocios con tiendas online y que realizan comercio electrónico (e-commerce).

 

Adaptación a RGPD de la UE, la nueva norma

.

El 25 de mayo de 2018 fue la fecha límite de aplicación del Reglamento Europeo 679/2016 de Protección de Datos (RGPD). Se cumplían los dos años de margen que se fijaron desde su entrada en vigor para que todos las empresas y entidades se adaptaran al mismo.

Antes de esa fecha, empresas, autónomos, organismos públicos, asociaciones, comunidades de propietarios debían haberse adaptado al nuevo RGPD.

Este cambio se hizo para unificar las diferentes normativas de los estados miembros de la UE y dar más garantías de control a los ciudadanos sobre sus datos personales.

En España, aún se tardó unos meses en aprobarse la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), para complementar en algunos aspectos al RGPD.  Se quería que hubiese entrado en vigor también el 25 de mayo de 2018, pero se retrasó hasta el 8 de diciembre.

Sabemos que empresas, autónomos y profesionales aún tienen dudas sobre cómo cumplir con la vigente normativa de protección de datos. Por eso, queremos ayudarles a entender fácilmente cuáles han sido los cambios respecto a la anterior y sus implicaciones prácticas.

A continuación, un resumen de los aspectos que creemos más importantes y que responde a las dudas más frecuentes de empresas y emprendedores.

1) ¿Aplicar la nueva normativa supone más trabajo para mi empresa?

El RGPD supone un mayor compromiso de empresas y autónomos con la protección de datos. Aunque no necesariamente tiene que implicar más carga de trabajo.

Si hasta mayo de 2018 gestionábamos los datos personales correctamente, el cambio de normativa sólo supone una continuación o reemplazo de las medidas que estábamos aplicando.

2) Obtención del consentimiento.

Es uno de los cambios más relevantes que trajo el RGPD.

Hasta mayo de 2018, había varias formas para obtener el consentimiento del titular para el tratamiento de sus datos personales. Con la nueva normativa, pasa a poder hacerse únicamente mediante declaración explícita de los interesados o una acción positiva que indique su acuerdo.

Pasan a prohibirse prácticas como el consentimiento tácito o por inacción del interesado. Afortunadamente, parece que este punto las empresas lo han entendido bastante bien y prácticamente no hemos vuelto a ver textos como éste: ‘si en 30 días no nos da su negativa al tratamiento de sus datos, entenderemos que consiente…

En las páginas web se siguen utilizando las casillas para la obtención del consentimiento, pero no pueden usarse casillas pre-marcadas.

Además, el consentimiento se debe dar separadamente para cada una de las finalidades de tratamiento y debe ser verificable. Por ejemplo, el usuario debe dar un consentimiento para que se le envíe la newsletter. Otro diferente para participar en un sorteo. Otro diferente para autorizar la publicación de su imagen en redes sociales, etc. ¡Cuidado con esto porque puede ser necesario que la persona marque varias casillas o firme varios documentos!

Si el consentimiento obtenido antes del 25 de mayo de 2018 se había hecho conforme a estos requisitos, no fue necesario obtenerlo de nuevo.

Pero si no era así, hubo que contactar con todos los suscriptores para animarlos a suscribirse de nuevo. Y esta vez sí, de manera acorde a lo indicado por el RGPD. Seguramente recordaréis esos días en que todos recibimos muchos emails (la mayoría innecesarios) para que nos suscribiéramos de nuevo a todo…

¿Y por qué decimos innecesarios? Pues porque a los clientes no había que pedirles nuevamente el consentimiento para enviarles comunicaciones comerciales. En estos casos, no es necesario el consentimiento explícito porque el tratamiento se realiza bajo el amparo del interés legítimo o por la ejecución de un contrato (cliente-proveedor).

Si aún dudas si tienes que solicitar el consentimiento y cómo hacerlo, consúltanos.

3) Cláusulas informativas y avisos de privacidad.

Es fundamental asegurarse de que están actualizadas a la vigente normativa las cláusulas informativas y avisos legales, tanto en webs como en otros soportes.

Deben incluir cuestiones como: base jurídica del tratamiento, plazo de conservación, criterios para su determinación…

Además, deberán ser concisas, transparentes, inteligibles, accesibles, con un lenguaje claro y sencillo, por escrito y de acceso gratuito.

Hay que evitar textos largos, incomprensibles y que ocultan la información debajo de múltiples links. Al usuario hay que ponérselo lo más fácil posible o puede mosquearse y denunciarnos.

4) Los contratos con terceros encargados de tratamiento (ET).

Los encargados de tratamiento (ET) son todos los terceros que nos prestan un servicio y, para realizarlo, les facilitamos datos personales nuestros y de terceros.

Desde mayo de 2018, la adaptación a RGPD implica que hay que firmar nuevos contratos con todos los Encargados de Tratamiento de nuestro negocio.

Para cumplir con lo que indica el RGPD, estos contratos deben incluir: descripción detallada de los servicios prestados, medidas aplicadas respecto al tratamiento de datos personales, posibles transferencias internacionales de datos, subcontrataciones, derechos de los usuarios que el encargado de tratamiento se compromete a respetar, etc.

5) ¿Niveles de seguridad de los datos?

El RGPD ya no habla de 3 niveles de seguridad de los datos, como sí hacía la antigua LOPD (básico, medio, alto). Allí se refería a diferentes niveles para aplicar en cada uno medidas de seguridad más o menos intensas.

El RGPD dice que a todos los datos personales hay que tratarlos con las medidas de seguridad estándar en él indicadas y sólo distingue unas “categorías especiales de datos”. Los datos genéticos, biométricos, de salud, de menores, de antecedentes penales, de comportamientos y hábitos, de orientación sexual o política, pasan a estar dentro de estas categorías especiales que requieren un tratamiento especial y mayor seguridad.

6) Medidas de seguridad que hay que aplicar.

El RGPD no habla de unas medidas de seguridad específicas. Sí que aparece el concepto de responsabilidad proactiva (accountability).

Implica que quienes traten datos personales deben aplicar las medidas necesarias para garantizar los criterios de seguridad correspondientes: confidencialidad, integridad, disponibilidad y resiliencia.

Estas son algunas medidas que en Emprender Seguro recomendamos para asegurar el cumplimiento del RGPD:

– La empresa debe tener en cuenta las cuestiones relacionadas con la protección de datos personales en su toma de decisiones.

– Hacer una protección de datos por defecto y desde el diseño.

– Tener unas medidas de seguridad técnico-organizativas.

– Mantener un Registro de Actividades de Tratamiento de datos.

– Realizar un análisis de riesgos y evaluaciones de impacto cuando haya dudas. Recomendable cuando sea probable que el tratamiento presente un alto riesgo específico para los derechos y libertades de los interesados. Por ejemplo, con los datos englobados en las categorías especiales de datos o con colectivos que requieran más protección (menores).

– Nombrar un delegado de protección de datos (DPO). Hablamos de lo que implica más adelante, en el punto 10).

– Realizar la notificación de violaciones de la seguridad de los datos a los perjudicados (brechas de datos).

– Tener documentadas, actualizadas y aplicadas en todo momento estas medidas de seguridad.

7) Registro de ficheros en la AEPD.

La antigua obligación de inscribir los ficheros en la Agencia de Protección de Datos (AEPD) desapareció desde el 25 de mayo de 2018.

El RGPD obliga al responsable de tratamiento (RT) y al encargado de tratamiento (ET) a llevar un ‘registro de actividades de tratamiento’. Este registro debe tener un contenido mínimo regulado por la normativa.

8) Los nuevos derechos: limitación, olvido y portabilidad.

Si en la antigua LOPD se contemplaban los llamados derechos ARCO de los titulares de los datos (acceso, rectificación, cancelación y oposición), el RGPD introduce tres nuevos derechos de los titulares sobre sus datos.

El derecho al olvido, que son los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet. El derecho a la portabilidad, que permite al interesado recuperar sus datos de forma estructurada para trasladarlos a otro responsable. Y el derecho de limitación, que consiste en que el usuario decide qué datos cede al responsable del tratamiento y con qué límites (temporales, geográficos, de alcance…).

9) Régimen de sanciones.

El régimen de sanciones es variable y las sanciones pueden fijarse en función del volumen de negocio de la empresa.

Puede haber sanciones directas (hasta 20.000.000€), o bien, un porcentaje del volumen neto de la cifra de negocio de la empresa el ejercicio anterior (entre un 2% y un 4% de dicho valor).

10) Qué es el Delegado de Protección de Datos (DPD/DPO).

Una empresa estará obligada a designar su propio Delegado de Protección de Datos (DPD) sólo en estos casos:

– Cuando se trate de una autoridad u organismo público (excepto en tribunales cuando actúen en su función jurisdiccional).

– Si sus actividades principales consisten en operaciones que requieren una observación habitual y sistemática de interesados a gran escala. Por ejemplo, empresas que desarrollen actividades de publicidad y prospección comercial.

– Si sus actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos personales. Por ejemplo, Centros de Formación dentro del ámbito de la Ley 2/2006 de Educación. También empresas que traten de manera habitual, sistemática y en gran medida, datos sobre ideología, sexo, condición religiosa, política o sindical, salud, datos biométricos o genéticos.

El Delegado de Protección de Datos puede ser interno o externo. Es decir, se puede externalizar el servicio si la empresa no tiene personale formado en materia de protección de datos para llevarlo a cabo. Esto es lo más conveniente, sobre todo en ciertos casos.

Debe designarse al DPD atendiendo a sus cualidades profesionales y a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos.

La AEPD también ha publicado y controla el Esquema de Certificación de Delegados de Protección de Datos. Por tratarse de una figura relevante para las empresas, es importante seleccionar un DPD con la mejor cualificación.

Recomendamos a todos los negocios, ya se trate de empresas grandes o pequeñas, o incluso autónomos, que se informen muy bien de qué implica para ellos el cumplimiento del RGPD y la LOPDGDD, así como que se aseguren de si realmente necesitan contar con un Delegado de Protección de Datos.

Podéis contactar con nosotros para aclarar vuestras dudas.

 

*Otros artículos que hemos publicado sobre este mismo tema:

El nuevo RGPD y los problemas con la privacidad (el caso Facebook)

 



Compartir