pyme-legal

¿Cómo cumplir con el Reglamento General de Protección de Datos (RGPD)?

El Reglamento General de Protección de Datos concilió las normativas existentes de cada estado miembro de la UE y dio más garantías de control a los ciudadanos.

Pero la transición no ha sido fácil, ya que supuso un mayor compromiso de las empresas y la aplicación de medidas de prevención.

Jaume Feliu, co-fundador y CEO de PymeLegal, resume lo que implicó la reforma del RGPD en este artículo.

Jaume lleva más de 15 años como consultor en materia de privacidad y nuevas tecnologías.

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD) y el 25 de mayo de 2018 su aplicación fue obligatoria. Este plazo permitió que los Estados de la Unión Europea y las organizaciones pudieran adaptarse a la nueva normativa. Actualmente convive con la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD, antes LOPD).

Las organizaciones deben tener una responsabilidad proactiva (accountability) para garantizar la seguridad de los datos que almacenan y poder demostrar que toman las medidas apropiadas en función de un análisis de riesgos previo.

En la siguiente infografía de PymeLegal encontrarás las diferencias más relevantes entre la antigua y la nueva legislación:

LOPD-RGPD_PymeLegal
  1. La actual inscripción de ficheros ante la Agencia de Protección de Datos (AEPD) desapareció, pero se obliga al responsable de tratamiento (RT) y al encargado de tratamiento (ET) a llevar un Registro de Actividades de tratamiento con un contenido mínimo, teniendo en cuenta su finalidad y la base jurídica (cantidad de datos tratados, extensión del tratamiento, periodos de conservación y accesibilidad de los datos).
  2. Además hay que implementar un protocolo de seguridad que garantice confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Es el caso del cifrado de datos personales y la protección de los datos seudonimizados, que son aquellos que, sin proporcionar una información que permita identificar a una persona de manera directa, sí permiten determinar quién es a través de la asociación de información adicional. Este protocolo debe contemplar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia.
  3. Para el tratamiento de los datos se establecía un acuerdo de confidencialidad con los trabajadores y los terceros ‘Encargados de Tratamiento’ (ET), sin embargo, ahora este acuerdo se amplía para los terceros (aquellos que prestan un servicio a la empresa que supone un acceso a datos). El acuerdo tiene los siguientes requerimientos como mínimo: descripción detallada de los servicios prestados, medidas aplicadas, posibles transferencias internacionales de datos, subcontrataciones, etc. Por eso es recomendable revisar los contratos a terceros para ratificar que son conformes al RGPD. La adhesión a un código de conducta o a un mecanismo de certificación puede ser de utilidad para demostrar el cumplimiento de estos requisitos.
  4. Uno de los cambios más relevantes ha sido en la obtención de consentimiento. Se prohibió el consentimiento tácito (tipo ‘si en 30 días no nos da su negativa, entendemos que está de acuerdo al envío de información comercial de terceros’), es decir, cuando el usuario no dice que no. A partir de la aplicación del RGPD, el consentimiento debe ser explícito (tipo ‘si desea el envío de información comercial, marca esta casilla‘), es decir, el usuario debe realizar una acción. En el caso de los sitios web, se siguen utilizando las casillas para la obtención del consentimiento, pero no son válidas las casillas pre-marcadas. El consentimiento debe darse para cada una de las finalidades de tratamiento y ser verificable.
  5. Nos referíamos a los derechos ARCO para hablar de los derechos de todo individuo al Acceso, Rectificación, Cancelación y Oposición de sus datos, pero la reforma de la LOPD amplió estos derechos. Se contempla la Limitación del tratamiento, es decir, la garantía de que sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos; la Supresiónderecho al olvido, que hace referencia a los derechos de cancelación y oposición aplicados al campo de Internet y el derecho a la portabilidad, que completa el derecho de acceso y permite al interesado recuperar sus datos o descargarlos y la transferencia de sus datos a otra entidad encargada de tratamiento. Encontrarás más información en el sitio web de la Agencia Española de Protección de Datos (AEPD).
  6. En algunos casos es necesario designar a un Delegado de Protección de Datos (DPD), sobre todo teniendo en cuenta, por ejemplo, si se tratan datos sensibles a gran escala, entre otros supuestos.
  7. Los responsables del tratamiento de datos deben realizar una valoración del riesgo del tratamiento en función del tipo de tratamientos, el número de interesados afectados, la naturaleza de los datos, la cantidad y variedad de tratamientos, la duración o permanencia de la actividad de tratamiento y la extensión geográfica de la actividad de tratamiento. El fin es establecer medidas técnicas y organizativas que garanticen la protección de datos desde el diseño (desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales) y por defecto (que solo se traten los datos necesarios). Los responsables de tratamiento también deben realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos cuando sea probable que presenten un alto riesgo para los derechos y libertades de los interesados. Será necesario hacer una verificación y evaluación periódica de la eficacia de las medidas aplicadas.
  8. Mientras que anteriormente se llevaba a cabo un registro de incidencias, con el RGPD deben establecerse procedimientos para notificar las quiebras de seguridad a la Autoridad de Control correspondiente y, si procede, al afectado.
  9. La no aplicación de los requisitos del reglamento europeo conlleva sanciones por incumplimiento que aumentan respecto a las anteriores, siendo de un 2-4% de la facturación anual hasta 10-20 millones de euros.

Algunas empresas no se vieron afectadas por esta reforma porque los resultados del análisis de riesgo concluyeron que las medidas de la LOPD que se estaban ejecutando ya eran suficientes. De todas formas, hay que estar al día y revisar las cláusulas informativas y avisos legales que proporcionen información sobre el uso de los datos (como la finalidad, el plazo de conservación, las opciones de reclamación y la existencia de decisiones automatizadas, la elaboración de perfiles y sus consecuencias).

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.