Adaptación a RGPD

Adaptación a RGPD. La normativa sobre protección de datos

¿Qué es y por qué es imprescindible en tu negocio la adaptación a RGPD? Si estas siglas no te dicen nada, lee este artículo hasta el final porque te interesa. Y es que seguimos viendo muchas webs que hacen referencia a la LOPD 15/1999, una ley que hace ya varios años que no está vigente.

Para aclarar dudas, vamos a empezar por el principio…

La protección de datos es un derecho fundamental de todas las personas. Ha sido reconocido así por la Unión Europea. Con este reconocimiento se busca proteger la intimidad y privacidad de las personas físicas frente a las vulneraciones que puedan producirse por la recogida, almacenamiento y uso indiscriminado de sus datos personales.

Hasta mayo de 2018, en España, las empresas y profesionales que, en el desarrollo de su actividad tratasen datos personales, sabían que era obligatorio cumplir con la LOPD 15/1999 y su Reglamento de desarrollo.

La LOPD 15/1999 quedó derogada desde la fecha en que pasó a ser obligatorio el Reglamento Europeo 679/2016 de Protección de Datos (RGPD): el 25 de mayo de 2018.

El RGPD se hizo para unificar las diferentes normativas de los estados miembros de la UE y dar más garantías de control a los ciudadanos sobre sus datos personales.

Cuando hablamos de que empresas y profesionales tratan datos personales nos referimos a los de clientes, trabajadores de la empresa, futuros clientes, suscriptores, personas que se han interesado por nuestros servicios, etc.

Si las empresas y autónomos además realizan actividades económicas por Internet u otros medios telemáticos, también tienen que cumplir lo indicado en la LSSICE (Ley 34/2002 de Servicios de la Sociedad de la Información y el Comercio Electrónico). Esto es especialmente relevante para todos los negocios con tiendas online y que realizan comercio electrónico (e-commerce).

 

Adaptación a RGPD, obligatoria desde 2018

Desde el 25 de mayo de 2018, empresas, autónomos, organismos públicos, asociaciones y hasta comunidades de propietarios deben tratar los datos personales como indica el RGPD.

En España, además existe la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) de 8 de diciembre de 2018, para complementar en algunos aspectos al RGPD. También hay que tenerla en cuenta para cumplir en materia de protección de datos.

Sabemos que muchas empresas, autónomos y profesionales siguen aún teniendo dudas sobre cómo cumplir de verdad con la actual normativa de protección de datos. Con este artículo, queremos ayudarles a entender fácilmente cuáles han sido los cambios respecto a la anterior legislación (si aún no se han actualizado) y sus implicaciones prácticas.

A continuación hacemos un resumen de los aspectos más importantes y que generan más dudas en empresas y emprendedores.

 

1) ¿Aplicar la normativa de protección de datos supone más trabajo para mi empresa?

La adaptación a RGPD supone un compromiso real de empresas y autónomos con la protección de datos. Aunque no necesariamente tiene que implicar más carga de trabajo.

Es importante conocer las obligaciones que indican el RGPD y la LOPDGDD y tener el asesoramiento profesional adecuado para cumplirlas. Si la empresa no tiene tiempo de hacerlo todo, puede delegar una parte del trabajo en un consultor especializado.

Si hasta mayo de 2018 la empresa gestionaba los datos personales correctamente, el cambio de normativa sólo ha supuesto una continuación o reemplazo de las medidas que estábamos aplicando.

 

2) Obtención del consentimiento.

Es uno de los cambios más relevantes que trajo el RGPD.

Hasta mayo de 2018, había varias formas para obtener el consentimiento del titular para el tratamiento de sus datos personales. Con el RGPD, ya sólo puede hacerse mediante una declaración explícita de los interesados.

Pasan a prohibirse prácticas como el consentimiento tácito o por inacción del interesado. Afortunadamente, parece que este punto la mayoría de las empresas lo han entendido bastante bien.

Ya sólo raramente se ven textos como éste: «si en 30 días no nos da su negativa al tratamiento de sus datos, entenderemos que consiente…»

Aunque sí se siguen leyendo en los banners de aviso de cookies de muchísimas webs: «…si sigues navegando, entenderemos que estás de acuerdo…», que tampoco es correcto. Puedes ver cómo hacerlo correctamente en nuestro artículo «Cómo hacer uso de las cookies en tu web de forma correcta».

En las páginas web se pueden utilizar las casillas de check (□) para la obtención del consentimiento, pero no pueden usarse casillas pre-marcadas.

Además, el consentimiento se debe dar separadamente para cada una de las finalidades de tratamiento y debe ser verificable. Por ejemplo, el usuario debe dar un consentimiento para que se le envíe la newsletter. Otro diferente para participar en un sorteo. Otro diferente para autorizar la publicación de su imagen en redes sociales, etc. ¡Cuidado con esto porque puede ser necesario que la persona marque varias casillas o firme varios documentos!

El único caso en que no es imprescindible recoger el consentimiento explícito para enviar comunicaciones comerciales es con los que ya son clientes de tu negocio. Es decir, ya han contratado tus servicios o te han comprado productos. En estos casos, el tratamiento se realiza bajo el amparo del interés legítimo o por la ejecución de un contrato (cliente-proveedor).

Si aún no sabes cómo solicitar el consentimiento, consúltanos.

 

3) Cláusulas informativas y avisos de privacidad.

Es fundamental asegurarse de que los textos legales en tu web o en otros soportes (email, contratos, facturas…) se actualicen a la vigente normativa.

Deben incluir cuestiones como: base jurídica del tratamiento, plazo de conservación, criterios para su determinación, si va a haber o no transferencias internacionales de datos, derechos que la legislación otorga al titular sobre sus datos…

Además, deberán ser concisas, transparentes, inteligibles, accesibles, con un lenguaje claro y sencillo, por escrito y de acceso gratuito.

Hay que evitar textos largos, incomprensibles y que ocultan la información debajo de múltiples links y redirecciones. Al usuario hay que ponérselo lo más fácil posible o puede mosquearse y denunciarnos.

 

4) Los contratos con terceros encargados de tratamiento (ET).

Los encargados de tratamiento (ET) son todos los terceros que nos prestan un servicio y, para realizarlo, les facilitamos datos personales nuestros y de terceros.

Desde mayo de 2018, la adaptación a RGPD implica que hay que firmar nuevos contratos con todos los Encargados de Tratamiento de nuestro negocio.

Para cumplir con lo que indica el RGPD, estos contratos deben incluir: descripción detallada de los servicios prestados, medidas aplicadas respecto al tratamiento de datos personales, posibles transferencias internacionales de datos, subcontrataciones, derechos de los usuarios que el encargado de tratamiento se compromete a respetar, etc.

 

5) ¿Niveles de seguridad de los datos?

El RGPD ya no habla de 3 niveles de seguridad de los datos, como hacía la antigua LOPD ya derogada (básico, medio, alto). Allí se refería a diferentes niveles para aplicar en cada uno medidas de seguridad sobre los datos más o menos intensas.

En la normativa actual, el RGPD dice que a todos los datos personales hay que tratarlos con las medidas de seguridad estándar en él indicadas y sólo distingue unas «categorías especiales de datos». Los datos genéticos, biométricos, de salud, de menores, de antecedentes penales, de comportamientos y hábitos, de orientación sexual o política, pasan a estar dentro de estas categorías especiales que requieren un tratamiento especial y mayor seguridad.

 

6) Medidas de seguridad que hay que aplicar.

El RGPD no da un listado de medidas de seguridad específicas que haya que aplicar. En su lugar, aparece el concepto de responsabilidad proactiva (accountability).

Esto significa que quienes traten datos personales deben aplicar las medidas necesarias para garantizar los criterios de seguridad correspondientes: confidencialidad, integridad, disponibilidad y resiliencia.

Estas son algunas medidas que en Emprender Seguro recomendamos para asegurar el cumplimiento del RGPD:

– La empresa debe tener en cuenta las cuestiones relacionadas con la protección de datos personales en su toma de decisiones.

– Hay que hacer una protección de datos por defecto y desde el diseño.

– Es imprescindible tener unas medidas de seguridad técnico-organizativas, ponerlas por escrito y que las conozcan todos los empleados y directivos.

– El obligatorio mantener actualizado un Registro de Actividades de Tratamiento de datos.

– Se ha de realizar un análisis de riesgos y evaluaciones de impacto cuando haya dudas sobre algún tratamiento. Cuando es probable que el tratamiento presente un alto riesgo específico para los derechos y libertades de los interesados, es obligatorio. Por ejemplo, con los datos englobados en las categorías especiales de datos o con colectivos que requieran más protección (menores).

– En muchos casos es conveniente nombrar un delegado de protección de datos (DPD/DPO). En algunos es, incluso, obligatorio por Ley. Hablamos de lo que implica más adelante, en el punto 10).

– Se ha de realizar la notificación de violaciones de la seguridad de los datos a los perjudicados (brechas de datos) y a la Agencia Española de Protección de Datos .

– Es más que recomendable tener documentadas, actualizadas y aplicadas en todo momento estas medidas de seguridad.

 

7) Registro de ficheros en la AEPD.

La antigua obligación de inscribir los ficheros en la Agencia de Protección de Datos (AEPD) desapareció el 25 de mayo de 2018. Sin embargo, aún algunos siguen haciendo referencia a este trámite que ya no existe. Claramente no han hecho la adaptación a RGPD.

El RGPD obliga al responsable del tratamiento (RT) y al encargado del tratamiento (ET) a llevar un ‘registro de actividades de tratamiento’. Este registro debe tener un contenido mínimo regulado por la normativa y debe estar actualizado para recoger la realidad de la empresa.

 

8) Los nuevos derechos: limitación, olvido y portabilidad.

Si en la antigua LOPD 15/1999 se contemplaban los llamados derechos ARCO de los titulares de los datos (acceso, rectificación, cancelación y oposición), el RGPD introduce tres nuevos derechos de los titulares sobre sus datos.

El derecho al olvido, que son los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet. El derecho a la portabilidad, que permite al interesado recuperar sus datos de forma estructurada para trasladarlos a otro responsable. Y el derecho de limitación, que consiste en que el usuario decide qué datos cede al responsable del tratamiento y con qué límites (temporales, geográficos, de alcance…)

 

9) Régimen de sanciones.

El régimen de sanciones es variable y las sanciones pueden fijarse en función del volumen de negocio de la empresa.

Puede haber sanciones directas (hasta 20.000.000€), o bien, que supongan un porcentaje del volumen neto de la cifra de negocio de la empresa el ejercicio anterior (entre un 2% y un 4% de dicho valor).

 

10) Qué es el Delegado de Protección de Datos (DPD/DPO).

Aunque es una figura muy recomendable para empresas de tamaño medio o con tratamientos de datos muy diferentes, en realidad una empresa sólo estará obligada a designar un Delegado de Protección de Datos (DPD) en estos casos:

– Cuando se trate de una autoridad u organismo público (excepto en tribunales cuando actúen en su función jurisdiccional).

– Si sus actividades principales consisten en operaciones que requieren una observación habitual y sistemática de interesados a gran escala. Por ejemplo, empresas que desarrollen actividades de publicidad y prospección comercial.

– Si sus actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos personales. Por ejemplo, Centros de Formación dentro del ámbito de la Ley 2/2006 de Educación. También empresas que traten de manera habitual, sistemática y en gran medida, datos sobre ideología, sexo, condición religiosa, política o sindical, salud, datos biométricos o genéticos.

El Delegado de Protección de Datos puede ser interno o externo. Es decir, se puede externalizar el servicio si la empresa no tiene personale formado en materia de protección de datos para llevarlo a cabo. Esto es lo más conveniente, sobre todo en ciertos casos.

Debe designarse al DPD atendiendo a sus cualidades profesionales y a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos.

La AEPD también ha publicado y controla el Esquema de Certificación de Delegados de Protección de Datos. Por tratarse de una figura relevante para las empresas, es importante seleccionar un DPD con la mejor cualificación, lo que significa que esté certificado.

La CEO de Emprender Seguro, María Isabel Gámez, es Delegado de Protección de Datos certificado por el esquema AEPD-DPD.

Por eso, podemos mostrar este sello.Delegado de Protección de Datos certificado

 

Recomendamos a todos los negocios, ya se trate de empresas grandes o pequeñas, o incluso autónomos, que se informen muy bien de qué implica para ellos el cumplimiento del RGPD y la LOPDGDD, así como que se aseguren de si realmente necesitan contar con un Delegado de Protección de Datos. Y en este caso, seleccionar al adecuado.

 

Y si aún tienes dudas sobre cómo cumplir al 100% en protección de datos, contáctanos aquí.

 

 

*Otros artículos que hemos publicado sobre este mismo tema:

Cómo hacer uso de las cookies en tu web de forma correcta (actualizado 2023).

Qué es un Delegado de Protección de Datos y qué puede hacer por tu negocio.

 

 



Compartir
Abrir chat
Bienvenidos a Emprender Seguro
Hola
¿En qué podemos ayudarte?