¿Cómo cumplir con el Reglamento Europeo de Protección de Datos?

0

A partir del 25 de mayo del 2018 es de obligado cumplimiento para todas las empresas el nuevo Reglamento Europeo Protección de Datos.

Todas las empresas del ámbito europeo deberán cumplir con el RGPD.

Esta novedosa normativa europea ha hecho que la Ley Orgánica de Protección de Datos (LOPD) se tenga que adaptar para cumplir con los requisitos que establece.

En este post te explico cómo cumplir con el RGPD.

¿Qué es el RGPD?

Esta normativa responde a las necesidades actuales para gestionar la información privada que los ciudadanos ceden a ciertos estamentos, corporaciones o empresas.

Ciertos datos deben permanecer en el ámbito privado. Si salieran a la luz podría suponer una serie de problemas serios para los ciudadanos europeos que cedieron sus datos voluntariamente y sin ser extorsionados.

El uso masivo de Internet hace que se deje una gran huella digital en la red de redes.

Es conveniente saber cómo se han de gestionar esta serie de datos garantizando la seguridad y la privacidad de los mismos.

Las empresas se deberán de adaptar con rapidez a este reglamento europeo, de no hacerlo deberán abonar una cuantiosa multa económica.

El Reglamento Europeo de Protección de Datos dispone de tres principios básicos:

principios-reglamento-europeo

Principio de responsabilidad o accountability

Todas las corporaciones han de incluir mecanismos que acrediten que se están cumpliendo todos los requisitos que marca la ley.

Esta es una responsabilidad proactiva que adquieren todas las empresas con esta ley.

En todo momento las corporaciones han de ser capaces de demostrar que cumplen con el Reglamento Europeo de Protección de Datos.

Protección de datos por defecto y desde el momento del diseño

Este principio es fundamental.

El RGPD tendrá que estar asegurado desde el momento en el que se diseña una empresa.

Principio de transparencia

Es el principio por el cual se desarrolla el reglamento.

Todos los avisos legales y las políticas de privacidad deberán ser más simples y comprensibles. Es decir, que cualquier persona ha de ser capaz de interpretar este tipo de documentos legales.

Ventajas para los ciudadanos

Este reglamento europeo también tiene una serie de ventajas para todos los ciudadanos de los países miembros de la Unión Europea, estas son:

  • Transparencia e información: Las organizaciones deben presentar la información a la ciudadanía de un modo sencillo y completo. A los menores de edad se les ofrecerá una información detallada, de fácil comprensión.
  • Cesión de datos: El consentimiento para la cesión de datos de carácter personal ha de ser inequívoco, libre y revocable. No se admitirá un consentimiento tácito, deberá ser mediante un acto afirmativo claro.
  • Derecho al olvido: Es una de las novedades más curiosas que se recogen en este nuevo reglamento. En cualquier momento se podrá revocar el consentimiento prestado con anterioridad. Todo ciudadano de la Unión Europea puede exigir la eliminación de los datos.
  • Portabilidad de los datos: Se permite al ciudadano solicitar la transferencia de los datos de cada ciudadano europeo de un proveedor a otro.
  • Facilidad de denunciar: El RGPD recoge la posibilidad de indemnizar a los afectados.

¿Cómo preparar una empresa para el cumplimiento del Reglamento Europeo de Protección de Datos?

Adaptar un negocio para el cumplimiento del nuevo Reglamento Europeo de Protección de Datos es imprescindible para todas las empresas establecidas en el territorio de la Unión Europea. Las corporaciones que no empiecen a cumplir con el RGPD a partir del 25 de mayo del 2018 se tendrán que enfrentar a sanciones económicas de hasta los 20 millones de euros o el 4 % de la facturación anual de la empresa.

Cabe resaltar que cualquier empresa que presta sus servicios a habitantes de la Unión Europea deberá implantar las medidas técnicas que establece el Reglamento Europeo de Protección de Datos.

Novedades del Reglamento

Las principales novedades para las empresas que se establecen en este reglamento son las siguientes:

Aplicación

El Reglamento Europeo de Protección de Datos se aplica a responsables y encargados de tratar con datos personales de residentes de la Unión Europea. Incluso si se cumplen determinadas condiciones la empresa estará obligada a nombrar a un representante con la función de actuar en la Unión Europea.

Aumento de las sanciones

No cumplir con esta normativa puede acarrear un problema financiero serio para una empresa.

La tipificación de las multas económicas aumentó considerablemente.

Consentimiento expreso de los titulares de los datos

Todo responsable debe demostrar que ha conseguido los datos gracias a un consentimiento expreso del titular.

Notificación previa del tratamiento de los datos

El ciudadano europeo al entregar los datos debe saber para que van a ser utilizados antes de acceder a ceder los datos personales.

Obligaciones

Las nuevas obligaciones para los encargados en gestionar y tratar los datos son:

  • Mantenimiento de los registros de actividades de los procedimientos bajo su propia responsabilidad
  • Cooperación con la autoridad pertinente y la puesta a disposición de la información en caso de una solicitud
  • Nombramiento de un delegado de protección de datos
  • Notificación por parte de cualquier responsable en las brechas de seguridad.

Notificación de brechas de seguridad

Los responsables tienen la obligación de notificar a la autoridad pertinente una brecha de seguridad en un periodo de tiempo que no sea superior a las 72 horas desde el momento en que se tenga conocimiento de la misma.

Sistema de ventanilla única

Toda empresa situada fuera de la Unión Europea solo deberá tratar con la única autoridad de Protección de Datos.

Normas corporativas vinculantes

El Reglamento Europeo de Protección de Datos reconoce expresamente a los responsables y encargados del tratamiento como un medio para la legitimación de transferencias internacionales dentro de un grupo de empresas.

Transferencias internacionales

La autorización previa necesaria para la realización de transferencias internacionales no será necesaria fuera del marco europeo, siempre que una de las autoridades pertinentes lo concediera previamente.

Delegado de Protección de Datos

Esta figura será obligatoria para todas las empresas con un volumen de facturación grande. Este podrá ser un trabajador de la empresa o una persona ajena a la empresa.

Consejos para cumplir con el RGPD

Es conveniente seguir esta serie de consejos de expertos para no tener ningún problema con el RGPD:

  • Es fundamental contar con un registro o inventario con todos los datos que se trataron.
  • Impulsar un principio de responsabilidad proactiva. Solo de este modo se logra cumplir con el Reglamento Europeo de Protección de Datos.
  • Definir a la perfección los riesgos que puede suponer el cumplimiento del RGPD. Hay que tener en cuenta qué tipo de datos gestiona cada empresa y adecuar el procedimiento de gestión de datos según la actividad de la misma.
  • Adaptarse cuanto antes al nuevo modelo de consentimiento expreso que demanda el RGPD en contraposición al consentimiento tácito que se recogida en la LOPD.
  • El encargado de la gestión de privacidad se deberá nombrar cuanto antes, para que se acostumbre a cumplir el Reglamento Europeo de Protección de Datos.
  • Existe la necesidad de implantar medidas de políticas de evaluación del impacto. De este modo, la empresa se adaptará cuanto antes a esta normativa.
  • Es necesario disponer de un asesoramiento apropiado para el cumplimiento del RGPD.
  • Se modifican los tres niveles habituales de seguridad. El responsable de cada empresa se deberá poner en contacto con la autoridad pertinente para conocer los riesgos de seguridad que podrá sufrir su empresa.

El RGPD y sus efectos sobre la Ley Orgánica de Protección de Datos

Toda actividad conlleva algún efecto sobre la privacidad, puede que en un primer momento el usuario no se dé cuenta, pero lo tiene.

Por ejemplo, cuando se aceptan las cookies en una página web se están cediendo datos personales.

El 25 de mayo del año 2016 se aprobó en el Parlamento Europeo el Reglamento Europeo de Protección de Datos (RGPD) que es de obligado cumplimiento a partir del 25 de mayo del año 2018.

En España ya existía la Ley Orgánica de Protección de Datos (LOPD). El reglamento europeo modifica la ley española, debido a las novedades que introduce.

El Reglamento Europeo de Protección de Datos (RGPD) es de obligado cumplimiento a partir del 25 de mayo del año 2018

Se podría afirmar que la principal novedad del nuevo RGPD es la unificación en materia de protección de todas y cada una de las normativas europeas.

Otro aspecto fundamental es la intención de eliminar las cargas burocráticas existentes que tienen relación con la protección de los datos personales. Mientras que se aumenta la seguridad jurídica en el tratamiento de los mismos.

El ámbito de aplicación de esta normativa es a todas las empresas que gestionen datos de los habitantes de la UE. En este sentido obliga a modificar algunos aspectos de la LOPD ya que la jurisdicción española está sometida al derecho internacional público.

Por ello se a aprobado en diciembre de 2018 la nueva LOPD, que incluye también un nuevo título referido a los derechos digitales.

Regulación en el RGPD

Los ficheros no se tienen por qué inscribir en la Agencia Española de Protección de Datos (AEPD).

Con la LOPD era obligatoria la inscripción de ficheros por parte de los encargados y responsables del tratamiento de datos personales. Con el Reglamento Europeo de Protección de Datos los encargados deberán llevar un registro interno, no es necesario inscribirlos en la Agencia Española de Protección de Datos.

La notificación de violaciones de seguridad, quizás sea el punto que pueda llegar a generar más problemas.

El RGPD obliga a todos los responsables de seguridad de las empresas que manejen datos de ciudadanos de la Unión Europea que encuentren alguna fisura en la seguridad de los datos deberá notificarlo. El plazo de modificación será de menos de 72 horas.

Una diferencia muy notable entre la LOPD y el RGPD es la forma en que se autoriza la cesión de los datos.

En el Reglamento Europeo de Protección de Datos se especifica con claridad que el ciudadano europeo debe saber en qué momento le cede los datos personales a una corporación. No ha de ser una concesión tácita, debe de ser proactiva en la que el firmante se involucra en la lectura del documento de cesión.

Implicaciones para las empresas

Todas las empresas que trabajen con datos de ciudadanos de la Unión Europea deberán mostrar que tiene capacidad para cumplir con el RGPD antes de iniciar su actividad.

Esto con la LOPD no pasaba, los datos personales se cedían a Agencia Española de Protección de Datos, ahora ya no es así.

El Reglamento Europeo de Protección de Datos tiene una normativa de privacidad y seguridad óptima. Se garantiza que nadie ajeno podrá ser capaz de acceder a los datos personales. Las empresas de han de adaptar a la normativa de privacidad del RGPD. Eso sí, habrá varios métodos para cumplir con la seguridad.

Surge la nueva figura del Delegado de Protección de Datos.

Este cargo dentro de cada empresa tiene la función de dar información, de asesorar y supervisar al responsable y encargado del tratamiento de los datos personales. Este trabajador deberá estar disponible en todo momento para los problemas que puedan ir surgiendo.

En cuanto a las sanciones, con la LOPD se establecía una multa económica de un máximo de 600 000 euros.

Ahora, no cumplir con el RGPD puede acarrear multas de hasta 20 millones de euros o el 4 % de la facturación anual de la empresa. La multa siempre será la mayor cantidad económica posible.

No cumplir con este reglamento europeo supondrá un grave problema legal y fiscal a las compañías que no hagan la gestión de datos personales como marca la ley.

Derecho al olvido

El Reglamento Europeo de Protección de Datos añade una posibilidad para los interesados que puede llegar a resultar muy útil. Se trata del derecho al olvido.

Esta prerrogativa del RGPD se puede ejercitar en el momento en que existan indicios de que la finalidad para lo que fueron recogidos los datos no se realizó según la normativa vigente.

También si afecta negativamente e injustamente a la imagen personal de cualquier individuo.

Con el derecho al olvido se puede solicitar el borrado de los datos en un corto periodo de tiempo.

Nueva LOPDGDD

Aunque el RGPD obliga a todos los países miembros de la Unión Europea, quedaba pendiente que cada país aprobara su propia legislación al respecto para darle debido cumplimento.

Por eso el día 6 de diciembre de 2018 entró en vigor la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), que desarrolla y adapta el RGPD en nuestro país.

El objetivo de la Ley es garantizar la protección de los datos personales de las personas físicas. Incluyendo mecanismos de seguridad para el tratamiento y la disposición de éstos.

Principios

Básicamente podemos hablar de tres principios en los que se basa esta nueva ley:

  • Exige que los datos sean exactos. Por lo que habrá que actualizarlos, si es necesario.
  • Regula el deber de confidencialidad para el responsable del tratamiento y para cualquiera que participe en el proceso.
  • Es obligatorio el consentimiento expreso del titular de los datos para poder recogerlos y utilizarlos. Por eso debe ser informado, de forma indudable, de para qué serán utilizados esos datos.

Recoge el derecho del titular de los datos a saber quién es el responsable del tratamiento. Y debe tener acceso, de manera inmediata y sencilla, a él, que además, debe indicarle los medios existentes para ejercer sus derechos.

Derechos

En cuanto a los derechos, la nueva ley se remite a lo establecido en el RGPD:

  • Derecho a rectificar tus datos inexactos o incompletos.
  • Oposición al tratamiento de los datos.
  • Solicitar la supresión de tus datos si se usan para fines ilícitos o llega a término la finalidad para la que fueron recabados.
  • Derecho a conocer para qué van a ser usados y el plazo de tratamiento y conservación de los mismos.
  • Pedir la suspensión del tratamiento de tus datos, la conservación y la portabilidad de los mismos.

Figura del DPO

Sobre los Delegados de Protección de Datos, el RGPD había creado mucha confusión. No quedaba claro cuándo sí y cuándo no era obligatorio tener un DPD.

La LOPD se ha curado en salud y establece hasta 16 casos concretos en los que, de forma concreta, se exige su existencia.

Entre otros:

  • colegios profesionales,
  • centros de enseñanza,
  • hospitales y centros sanitarios,
  • entidades financieras de créditos,
  • aseguradoras,
  • empresas de servicios de inversión…

Los DPDs deben ser conocidos por la AEPD y, en su caso, las autoridades autonómicas de protección de datos. Ambas entidades están obligadas a tener una lista actualizada de esos delegados.

Y están obligados a poseer una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.

Régimen sancionador

Si había algo que nos tenía preocupados en el RGPD era la incertidumbre con respecto al régimen sancionador.

Esta norma establece sanciones muy elevadas. Según la infracción, las multas pueden alcanzar entre 10 y 20 millones de euros. O el 2 y el 4% del volumen de negocio anual global.

El dilema es que no se aclaraba en qué casos podías ser sancionado y por cuánta cantidad.

La LOPDGDD ha sido mucho más concisa que la normativa europea. Mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos.

Y esto es todo lo que debes conocer para cumplir la normativa de protección de datos. Espero que me comentes cualquier duda que tengas.

¿Cómo cumplir con el Reglamento Europeo de Protección de Datos?
3.4 (68.57%) 14 votos