El día 25 de mayo de 2018 sucedió un acontecimiento importante en el mundo del internet, se trata ni más ni menos que de la aplicación de la normativa Europea de protección de datos RGPD.
Esta nueva normativa entro en vigor el pasado 25 de mayo de 2016, no obstante no se ha hecho efectiva hasta pasados dos años.
Este nuevo reglamento trae consigo los cambios más importantes que se han producido en materia de protección de datos de los últimos años, con la firme intención de homogeneizar todas las normativas vigentes en los Estados Miembros que componen la Unión Europea, con objetivo de ampliar las garantías de control que tienen los usuarios sobre sus datos.
Básicamente, RGPD trata de proporcionar las mejores prácticas en el manejo de datos, diseñado para fortalecer los derechos de las personas y crear una mejor transparencia y control por parte de las empresas.
Hay dos cuestiones fundamentales del Reglamento que nos gustaría destacar.
En primer lugar, incluso si una empresa se encuentra fuera de la UE, pero controla o procesa los datos de los ciudadanos de la UE, el RGPD se le aplicará.
En segundo lugar, las posibles sanciones por irregularidades en el RGPD serán importantes.
Según el tipo de infracción, las empresas incurrirán en multas de hasta € 20 millones o el 4% de sus ingresos anuales globales, por lo que las empresas no podrán permitirse ignorar esta normativa.
El nuevo reglamento no supone una mayor carga de trabajo para los propietarios de sitios web que recopilen datos de carácter personal, no obstante si supone un mayor compromiso por parte de todo aquel que recopile este tipo de datos.
Si partimos de la base de que actualmente ya llevamos una correcta gestión de la LOPD, podemos considerar la adaptación al RGPD como una continuación de las medidas que ya estamos aplicando.
Vamos a explicaros un poco en qué consisten los nuevos cambios aplicados en esta nueva normativa.
1 Transparencia
El RGPD está pensado para garantizar una mayos trasparencia por parte de empresas y organizaciones que recopilan datos de carácter personal.
Esto significa que cualquier organización que atraiga personas a su sitio web y desee recopilar datos a través de un formulario, debe comunicar claramente a esa persona para qué se utilizarán los datos.
Los usuarios deberá dar su consentimiento para ese uso y el consentimiento debe ser claro, informado, específico, inequívoco y revocable.
2 Consentimiento
Los usuarios deberán dar su consentimiento para el tratamiento de sus datos, esto no varía mucho de la anterior normativa de la Agencia de Protección de Datos Español (LOPD), ya que anteriormente también era necesario contar con el consentimiento del usuario para la inscripción.
No obstante a diferencia de la normativa anterior el consentimiento tiene que ser explicito por parte del usuario, el cual debe disponer de toda la información sobre el tratamiento de sus datos de forma accesible e inequívoca en todos los formularios de registros, contacto o similares, además deberán marcar que confirman estar de acuerdo con el tratamiento y uso que se le darán a sus datos personales marcando la casilla de confirmación de igual forma que para la aceptación de las condiciones de uso.
Destacar también que no son válidas las técnicas de automarcado de estas casillas de aceptación que podían ser utilizadas anteriormente, ya que la aceptación tiene que ser explicita por parte del usuario.
3 Cláusulas de información
Las actuales cláusulas informativas y avisos legales, deberán de ser revisadas y actualizadas.
El RGPD prevé que se incluya en la información que se proporciona a los interesados, una serie de cuestiones que, con la Directiva del año 95 y muchas leyes nacionales de transposición, no eran necesariamente obligatorias, como por ejemplo la base jurídica del tratamiento, el plazo de conservación de los datos o los criterios para su determinación.
Esta información deberá proporcionarse de forma concisa, transparente, inteligible, de fácil acceso, con un lenguaje claro y sencillo, por escrito u otros medios y de forma gratuita.
4 Contratos con terceros
Se amplía el contenido de los contratos firmados con los encargados de tratamiento o los llamados contratos de acceso a los datos por cuenta de terceros (empresas o profesionales que nos prestan un servicio con acceso a datos), que deberán incluir entre otros aspectos: descripción detallada de los servicios prestados, medidas aplicadas, posibles transferencias internacionales de datos, subcontrataciones, etc.
Esto significa que se tendrán que revisar y actualizar los anteriores contratos del Art. 12 de la LOPD, y sustituirlos por los nuevos contratos entre el responsable y el encargado del tratamiento. Este nuevo contrato se amplía en su contenido y necesariamente deberán incluir entre otros aspectos: descripción detallada de los servicios prestados y la naturaleza o finalidad del tratamiento, medidas aplicadas, la duración, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable posibles transferencias internacionales de datos, subcontrataciones previstas, qué pasa cuando se finaliza el tratamiento, etc.
5 Niveles de seguridad
Anteriormente los datos tenían distintos niveles de seguridad y se clasificaban como básico, medio y alto, no obstante esta clasificación cambia en la actualidad cambiando a datos sensibles o no sensibles.
Además, el RGPD incluye en los datos SENSIBLES, dos nuevas categorías en este apartado: datos genéticos y datos biométricos.
6 Cambios en medidas de seguridad
Ya no se establecen medidas de seguridad específicas, tal como se contemplaban en el R.D. 1720/2007, sin embargo, aparece el concepto de RESPONSABILIDAD PROACTIVA, que hace referencia a la prevención por parte de las organizaciones que tratan datos.
Es decir, las empresas, deberán aplicar las medidas necesarias que garanticen criterios de seguridad, confidencialidad, integridad y disponibilidad.
6.1 Medidas de seguridad PROACTIVAS
Protección de datos desde el diseño (PDdD).
Protección de datos por defecto (PDpD).
Medidas de seguridad (técnico-organizativas).
Mantenimiento de un registro de actividades de tratamiento.
Análisis de riesgos y evaluaciones de impacto (cuando sea probable que el tratamiento presente un alto riesgo específico para los derechos y libertades de los interesados).
Nombramiento de un delegado de protección de datos (DPO) (solo en determinados supuestos).
Notificación de violaciones de la seguridad de los datos, o brechas de seguridad.
7 Registro de fichero
El actual fichero de inscripción ante la Agencia de Protección de Datos (AEPD) desaparece como tal, sin embargo se obliga al responsable de tratamiento (RT) y al encargado de tratamiento (ET) a llevar un registro de actividades de tratamiento con un contenido mínimo.
8 Derecho al olvido y Derecho de portabilidad
Además de los derechos ARCO (acceso, rectificación, cancelación y oposición), el RGPD introduce nuevos conceptos, el derecho al olvido (los tradicionales derechos de cancelación y oposición) y derecho a la portabilidad (permite al interesado recuperar sus datos de forma estructurada para trasladarlos).
9. Delegado de Protección de Datos (DPD)
Este concepto aun parece que todavía no está claro quién tendrá la obligación de nombrar a esta figura y para quién quedaría como una recomendación en función del tipo de datos personales que se traten o el volumen de datos tratados.
10. Evaluación de Impacto (EIPD)
Es otra de las nuevas normas que trae consigo el RGPD y podemos definirla como un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos, como consecuencia de ese análisis, adoptar las medidas necesarias para eliminarlos o mitigarlos.
Viernes, Junio 1, 2018