Skip to content

Qué es el RGPD y qué cambia respecto a la LOPD

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. ¿Sabes qué medidas conlleva?

JaumeFeliu-PymeLegal

Este plazo de dos años se ha establecido para que los Estados de la Unión Europea y las organizaciones pudieran adaptar esta reforma de la Ley Orgánica de Protección de Datos (LOPD). Si aún no sabes lo que implica este cambio, Jaume Feliu, co-fundador y CEO de PymeLegal, te lo resume en este artículo.

Jaume lleva más de 15 años como consultor en materia de privacidad y nuevas tecnologías, ¡es un placer contar con su colaboración!

El nuevo reglamento pretende conciliar las normativas existentes de cada estado miembro de la UE y dar más garantías de control a los ciudadanos. Pero esta transición no ha sido fácil, ya que supone un mayor compromiso y prevención de las empresas, que deben tener una responsabilidad proactiva (accountability) para garantizar la seguridad de los datos que almacenan y poder demostrar que toman las medidas apropiadas en función de un análisis de riesgos previo.

En la siguiente infografía de PymeLegal encontrarás las diferencias más relevantes entre la antigua y la nueva legislación:

LOPD-RGPD_PymeLegal
  1. La actual inscripción de ficheros ante la Agencia de Protección de Datos (AEPD) desaparece, pero se obliga al responsable de tratamiento (RT) y al encargado de tratamiento (ET) a llevar un Registro de Actividades de tratamiento con un contenido mínimo teniendo en cuenta su finalidad y la base jurídica (cantidad de datos tratados, extensión del tratamiento, periodos de conservación y accesibilidad de los datos).
  2. Además hay que implementar un protocolo de seguridad que garantice confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Es el caso del cifrado de datos personales y la protección de los datos seudonimizados, que son aquellos que, sin proporcionar una información que permita identificar a una persona de manera directa, sí permiten determinar quién es a través de la asociación de información adicional. Este protocolo debe contemplar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia.
  3. Para el tratamiento de los datos se establecía un acuerdo de confidencialidad con los trabajadores y los terceros ‘Encargados de Tratamiento’ (ET), sin embargo, ahora este acuerdo se amplía para los terceros (aquellos que prestan un servicio a la empresa que supone un acceso a datos) con el mínimo de los siguientes requerimientos: descripción detallada de los servicios prestados, medidas aplicadas, posibles transferencias internacionales de datos, subcontrataciones, etc. Por eso es recomendable revisar los contratos a terceros para ratificar que son conformes al RGPD. La adhesión a un código de conducta o a un mecanismo de certificación puede ser de utilidad para demostrar el cumplimiento de estos requisitos.
  4. Uno de los cambios más relevantes es en la obtención de consentimiento. Se prohíbe el consentimiento tácito de tipo ‘si en 30 días no nos da su negativa, entendemos que está de acuerdo al envío de información comercial de terceros’, es decir, cuando el usuario no dice que no. A partir de la aplicación del RGPD, el consentimiento debe ser explícito de tipo ‘si desea el envío de información comercial, marca esta casilla‘, es decir, el usuario debe realizar una acción. En el caso de las páginas web, se podrán seguir utilizando las casillas para la obtención del consentimiento, pero no serán válidas las casillas pre-marcadas. El consentimiento deberá darse para cada una de las finalidades de tratamiento y ser verificable.
  5. Nos referimos a los derechos ARCO cuando hablamos de los derechos de todo individuo al Acceso, Rectificación, Cancelación y Oposición de sus datos. La reforma de la LOPD contempla la ‘limitación‘, es decir, la garantía de que sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos; el derecho al olvido, que hace referencia a los derechos de cancelación y oposición aplicados al campo de Internet y el derecho a la portabilidad, que completa el derecho de acceso y permite al interesado recuperar sus datos o descargarlos y la transferencia de sus datos a otra entidad encargada de tratamiento.
  6. En algunos casos será necesaria la designación de un Delegado de Protección de Datos (DPD), sobre todo teniendo en cuenta, entre otras cosas, si se tratan datos sensibles a gran escala entre otros supuestos. En caso de no ser necesario, la empresa debe identificar la o las personas responsables de coordinar la adaptación del RGPD. La AEPD publicó el Esquema de Certificación de Delegados de Protección de Datos para establecer un mecanismo de certificación de este nuevo rol.
  7. Los responsables del tratamiento de datos deberán realizar una valoración del riesgo del tratamiento que realicen en función del tipo de tratamientos, el número de interesados afectados, la naturaleza de los datos, la cantidad y variedad de tratamientos, la duración o permanencia de la actividad de tratamiento y la extensión geográfica de la actividad de tratamiento. El fin es establecer medidas técnicas y organizativas que garanticen la protección de datos desde el diseño (desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales) y por defecto (que solo se traten los datos necesarios). Los responsables de tratamiento también deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos cuando sea probable que presenten un alto riesgo para los derechos y libertades de los interesados. Será necesario hacer una verificación y evaluación periódica de la eficacia de las medidas aplicadas.
  8. Mientras que actualmente se lleva a cabo un registro de incidencias, con el RGPD deberán establecerse procedimientos para notificar las quiebras de seguridad a la Autoridad de Control correspondiente y, si procede, al afectado.
  9. Es importante adaptarse a esta nueva legislación y que no nos pille desprevenidos, no sólo para cumplir con los requisitos de este reglamento europeo, sino también porque las sanciones por incumplimiento aumentan respecto a las anteriores, siendo de un 2-4% de la facturación anual hasta 10-20 millones de euros.

Con suerte, es posible que los resultados del análisis de riesgo concluyan que las medidas de la LOPD que se están ejecutando actualmente ya sean las más adecuadas y la empresa no se vea afectada por esta reforma pero, sin duda, hay que revisar las cláusulas informativas y avisos legales que proporcionen información sobre el uso de los datos (como la finalidad, el plazo de conservación, las opciones de reclamación y la existencia de decisiones automatizadas, la elaboración de perfiles y sus consecuencias).

Be First to Comment

Deja un comentario

A %d blogueros les gusta esto: