El pasado 25 de mayo de 2018 entr\u00f3 en vigor el\u00a0 nuevo Reglamento Europeo General de Protecci\u00f3n de Datos (RGPD), relativo a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales y a la libre circulaci\u00f3n de estos datos, una norma que es de aplicaci\u00f3n obligatoria y que impone a las empresas numerosos deberes en relaci\u00f3n a la privacidad.<\/p>\n
Queda, adem\u00e1s, pendiente la aprobaci\u00f3n de la nueva Ley Org\u00e1nica de Protecci\u00f3n de Datos, que se encuentra actualmente en tramitaci\u00f3n parlamentaria. De todas formas, esto no supone ning\u00fan tipo de ventaja o inconveniente, puesto que el Reglamento europeo ser\u00e1 plenamente exigible de todas formas.<\/p>\n
Atenci\u00f3n.<\/strong> El RGPD es un tipo de norma que tiene aplicaci\u00f3n directa en todos los estados de la UE y, por tanto, no precisa de ning\u00fan tipo de mecanismo de transposici\u00f3n espec\u00edfico. Dicho de otra forma, no hace falta que exista ninguna ley espa\u00f1ola para que el Reglamento europeo resulte obligatorio, es exigible como si fuera una ley nacional.<\/p>\n Las compa\u00f1\u00edas que operen en Europa deber\u00e1n acatar el RGPD, independientemente de que est\u00e9n registradas en pa\u00edses que no pertenecen a la Uni\u00f3n Europea.<\/p>\n Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jur\u00eddicas relevantes a tener en cuenta.<\/p>\n El primer paso que todas las empresas deber\u00edan ejecutar es identificar y analizar las \u00e1reas de riesgo y documentar los tratamientos de datos personales<\/strong> que se llevan a cabo, a trav\u00e9s de un inventario de todas las actividades de tratamiento que realiza la compa\u00f1\u00eda. De esta manera ser\u00e1 m\u00e1s sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categor\u00eda, origen, si son susceptibles de ser compartidos, etc.<\/p>\n Se definen los datos personales de las personas como toda aquella informaci\u00f3n que se puede vincular directa o indirectamente a una persona. Es decir, pueden ir desde el nombre completo o domicilio de un individuo hasta informaci\u00f3n acerca de su condici\u00f3n social, estado civil o inclusive direcci\u00f3n IP.<\/p>\n Son muchas las obligaciones que tanto las empresas, aut\u00f3nomos y organismos p\u00fablicos y privados que traten datos de car\u00e1cter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilaci\u00f3n las decisiones necesarias para llegar a ese plazo en situaci\u00f3n de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturaci\u00f3n anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados.<\/p>\n Algunas de los puntos b\u00e1sicos de este Reglamento son:<\/p>\n La nueva normativa establece que las empresas deben contar con el permiso expreso del usuario para disponer y utilizar sus datos. Hasta ahora val\u00eda con el permiso t\u00e1cito, es decir, la presunci\u00f3n de que el usuario aceptaba lo que no rechazaba.<\/p>\n Para proceder a la recogida y al tratamiento de datos personales las organizaciones han de haber obtenido previamente un acuerdo escrito, claro o expl\u00edcito de los titulares de los datos.<\/p>\n Por tanto, las empresas necesitar\u00e1n obtener el consentimiento voluntario, espec\u00edfico, inequ\u00edvoco e informado de las personas para procesar sus datos. Tambi\u00e9n necesitar\u00e1n que los usuarios opten por aceptar el procesamiento de sus datos, no ser\u00e1 v\u00e1lido darles solo una opci\u00f3n de \u201copt-out\u201d o exclusi\u00f3n. En otras palabras, las empresas ya no podr\u00e1n pedir a los consumidores que marquen una casilla despu\u00e9s de un extenso conjunto de t\u00e9rminos y condiciones que la mayor\u00eda de los usuarios nunca lee.<\/p>\n Las empresas que procesen datos personales deben asegurarse de que es legal, justo y transparente. No pueden usar datos para fines distintos de aquellos para los que se recopilaron, con excepciones limitadas.<\/p>\n El procesamiento de datos es legal si:<\/p>\n Si una empresa recopil\u00f3 datos sobre la base del consentimiento, no puede usarlos para otros fines.<\/p>\n Las compa\u00f1\u00edas no solo est\u00e1n obligadas al consentimiento expreso, sino que deben especificar el uso y el tiempo concreto que tienen pensado disponer de estos datos.\u00a0 El RGPD establece que se deben guardar no m\u00e1s del “tiempo necesario”.<\/p>\n El RGPD prev\u00e9 un mecanismo de portabilidad que ofrece la posibilidad de pasar de un servicio a otro. Un usuario puede solicitar a cualquier empresa que le otorgue acceso a todos los datos personales recolectados con anterioridad, para de esta forma transferirlos a otra compa\u00f1\u00eda, s\u00ed as\u00ed lo desea.<\/p>\n Adem\u00e1s de informar claramente a los ciudadanos para qu\u00e9 y c\u00f3mo procesan sus datos personales, deber\u00e1n informar acerca de posibles brechas de seguridad en un plazo m\u00e1ximo de 72 horas. Si, por ejemplo, un banco sufre un ciberataque, sus clientes deber\u00e1n conocerlo antes de tres d\u00edas.<\/p>\n Los usuarios tienen derecho a saber toda la informaci\u00f3n que las compa\u00f1\u00edas poseen sobre ellos y a tener una copia electr\u00f3nica.<\/p>\n Aunque ya estaba en vigor, a partir de ahora se refuerza el llamado \u00abderecho al olvido\u00bb y podr\u00e1n solicitar a servicios de internet y empresas que tratan datos personales que borren todos sus datos o que se establezca el l\u00edmite de tiempo que el usuario da permiso de uso de su informaci\u00f3n.<\/p>\n La edad m\u00ednima aumenta de los 14 a los 16 a\u00f1os para acceder a los diferentes servicios digitales.<\/p>\n El nuevo reglamento establece que los t\u00e9rminos de uso y las pol\u00edticas de privacidad de datos deben redactarse y publicarse de una manera m\u00e1s sencilla y clara, es decir, comprensible para todos.<\/p>\n Al contrario que hasta ahora, la nueva normativa no obliga a registrar Ficheros en la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD). Todo el cumplimiento de la normativa ser\u00e1 responsabilidad de los obligados (Instituciones, Empresas y Organizaciones), que internamente establecer\u00e1n los medios para la aplicaci\u00f3n de la normativa.<\/p>\n \u00bfQu\u00e9 pasar\u00e1 con los ficheros registrados? Ser\u00e1 una obligaci\u00f3n cumplida bajo una normativa anterior, ya no habr\u00e1 ning\u00fan procedimiento de presentaci\u00f3n o de consulta de los ficheros comunicados.<\/p>\n El RGPD distingue entre \u201ccontroladores\u201d de datos y \u201cprocesadores\u201d de datos. Un controlador de datos determina por qu\u00e9 se deben recopilar y procesar los datos personales y c\u00f3mo. Un procesador de datos solo procesa datos personales en nombre del controlador y generalmente es una empresa externa.<\/p>\n Por ejemplo, un minorista que contrata a una empresa de recursos humanos para manejar la n\u00f3mina y otras funciones es el controlador de datos, mientras que la empresa de recursos humanos es el procesador de datos.<\/p>\n Bajo el RGPD, los procesadores de datos deben garantizar los mismos est\u00e1ndares que los controladores y garantizar que cumplan con los requisitos de la ley. Debe haber un contrato legal entre un procesador y un controlador, y un procesador no puede contratar a otra compa\u00f1\u00eda para procesar datos sin el consentimiento del controlador.<\/p>\n Una de las exigencias que introduce el RGPD es la designaci\u00f3n obligatoria de un Delegado de Protecci\u00f3n de Datos o Data Protection Officer (DPO, por sus siglas en ingl\u00e9s). Ahora nace una figura especializada en derecho de protecci\u00f3n de datos que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos. Sus funciones se orientan a garantizar el cumplimiento del reglamento y asesorar al responsable del tratamiento de datos.<\/p>\n Sus funciones es velar o supervisar que se realiza el cumplimiento de la normativa de LOPD adecuadamente, en el caso de autoridades y organismos p\u00fablicos, entidades que realicen una observaci\u00f3n habitual y sistem\u00e1tica de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, tambi\u00e9n a gran escala, de datos sensibles.<\/p>\n La cuant\u00eda de las multas sube de forma sustanciosa para evitar lo que se conoce como las \u201cinfracciones rentables\u201d. Por ello, el RPGD habla de que es posible cifrar las administrativas con cantidades entre 10 y 20 millones de euros. Si hace referencia a una empresa, la multa podr\u00eda ascender al 2 o 4% del volumen de negocio total, en base al anual global del ejercicio financiero anterior.<\/p>\n En este primer punto, se tendr\u00e1 que tener en cuenta qu\u00e9 se necesita para ajustarse al nuevo Reglamento\u00a0en cada caso particular.<\/p>\n Si el consentimiento actual que tiene no cumple con la nueva normativa,\u00a0tendr\u00e1 que solicitarlo de nuevo.<\/p>\n Le permitir\u00e1 explicar a sus clientes porque almacena sus datos y c\u00f3mo trabaja con ellos,\u00a0as\u00ed como actualizar los datos de los empleados.<\/p>\n Es importante que su equipo sepa\u00a0qu\u00e9 es el RGPD\u00a0y c\u00f3mo puede afectar\u00a0 a la empresa. Adem\u00e1s de formarle para que lleve a cabo\u00a0los procedimientos adecuados para cumplir la normativa.<\/p>\n 5. Eliminaci\u00f3n de datos<\/p>\n Es indispensable tener un sistema eficiente y eficaz que le permita\u00a0borrar los datos cuando se solicite o no sean necesarios.<\/p>\n Es necesario elaborar y establecer una estrategia de gesti\u00f3n de crisis por si la situaci\u00f3n lo requiriera.<\/p>\n Actualice sus diferentes canales, p\u00e1gina web, redes sociales y soportes varios y\u00a0ponga de manifiesto que est\u00e1 poniendo en pr\u00e1ctica y cumpliendo el RGPD.<\/p>\n Aquellos que est\u00e9n interesados en formar parte de sus\u00a0 bases de datos, acepten los t\u00e9rminos y lo soliciten, se les incluir\u00e1. Por el contrario, aquellos que no hayan dado su autorizaci\u00f3n no se les estar\u00e1 permitido y\u00a0no deber\u00edan entrar a formar parte de la base de datos de la compa\u00f1\u00eda.<\/p>\n Los menores de 16 a\u00f1os necesitar\u00e1n\u00a0el permiso de sus padres o tutor\u00a0con la nueva Ley de Protecci\u00f3n de Datos.<\/p>\n Se recomienda incluir\u00a0la figura de Delegado de Protecci\u00f3n de Datos \u00a0para asegurar que se respeta y cumple con lo establecido en la RGPD. Este punto no es obligatorio, pero si lo recomienda la UE.\u00a0El perfil de DPD abarca desde un profesional externo a la empresa o alg\u00fan trabajador que asuma el rol.<\/p>\n Para m\u00e1s informaci\u00f3n, puede consultar tambi\u00e9n la p\u00e1gina Web de la AEPD:<\/p>\n\u00bfQu\u00e9 entendemos por datos personales?<\/h3>\n
\n
Las personas viviendo dentro de la UE tendr\u00e1n derecho a:<\/strong><\/h3>\n
\n
LAS CLAVES DEL NUEVO RGPD<\/h3>\n
1.\u00a0Consentimiento expreso, no t\u00e1cito<\/h4>\n
2. La legalidad del procesamiento de datos<\/h4>\n
\n
3. Tiempo y uso concreto<\/h3>\n
4. Portabilidad de datos<\/h4>\n
5. Robo de datos<\/h4>\n
6. Descarga de toda la informaci\u00f3n a un \u00abclic\u00bb<\/h4>\n
7. El derecho al olvido<\/h4>\n
8. Mayor protecci\u00f3n de los menores<\/h4>\n
9. La letra peque\u00f1a, reflejada de forma clara<\/h4>\n
10. El Registro de Ficheros en la AEPD<\/h4>\n
11. Nuevas reglas para procesadores de datos<\/h4>\n
12. Delegado de Protecci\u00f3n de Datos<\/h4>\n
13. Nuevas sanciones por incumplimiento.<\/h4>\n
PAUTAS A SEGUIR:<\/h3>\n
1. Actualice sus documentos legales y realiza auditor\u00edas internas<\/h4>\n
2. Solicite el certificado o permiso para poder procesar datos<\/strong><\/h4>\n
3. Organice una auditor\u00eda de informaci\u00f3n<\/h4>\n
4. Informe a su equipo de trabajo<\/h4>\n
6. Situaci\u00f3n de crisis<\/h4>\n
7. Muestre que est\u00e1 cumpliendo con la normativa<\/h4>\n
8. Canales de acceso<\/h4>\n
9. Protecci\u00f3n de datos para menores de 16 a\u00f1os<\/h4>\n
10. Nuevo cargo: Delegado de Protecci\u00f3n de Datos (DPD)<\/h4>\n