El pasado 25 de mayo de 2018 entró en vigor el nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una norma que es de aplicación obligatoria y que impone a las empresas numerosos deberes en relación a la privacidad.
Queda, además, pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos, que se encuentra actualmente en tramitación parlamentaria. De todas formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento europeo será plenamente exigible de todas formas.
Atención. El RGPD es un tipo de norma que tiene aplicación directa en todos los estados de la UE y, por tanto, no precisa de ningún tipo de mecanismo de transposición específico. Dicho de otra forma, no hace falta que exista ninguna ley española para que el Reglamento europeo resulte obligatorio, es exigible como si fuera una ley nacional.
Las compañías que operen en Europa deberán acatar el RGPD, independientemente de que estén registradas en países que no pertenecen a la Unión Europea.
Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jurídicas relevantes a tener en cuenta.
El primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. De esta manera será más sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categoría, origen, si son susceptibles de ser compartidos, etc.
¿Qué entendemos por datos personales?
Se definen los datos personales de las personas como toda aquella información que se puede vincular directa o indirectamente a una persona. Es decir, pueden ir desde el nombre completo o domicilio de un individuo hasta información acerca de su condición social, estado civil o inclusive dirección IP.
Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados.
Algunas de los puntos básicos de este Reglamento son:
- Los datos personales son siempre del titular, no de quien los trata.
- Los datos deben utilizarse sólo para la finalidad para la que fueron recabados.
- Los interesados pueden ejercer el derecho a la portabilidad de sus datos, estando obligado el responsable del tratamiento a facilitar una copia completa de los datos en soporte electrónico.
Las personas viviendo dentro de la UE tendrán derecho a:
- Recibir información clara y comprensible sobre quien procesa sus datos y por qué.
- Acceder a los datos que las organizaciones tienen sobre ellos.
- Pedir que se eliminen los datos personales si no existe un motivo legítimo para guardarlos.
- Poder corregir los datos si son incorrectos.
- Mover los datos de un proveedor de servicios, como el correo electrónico o red social, a otro.
LAS CLAVES DEL NUEVO RGPD
1. Consentimiento expreso, no tácito
La nueva normativa establece que las empresas deben contar con el permiso expreso del usuario para disponer y utilizar sus datos. Hasta ahora valía con el permiso tácito, es decir, la presunción de que el usuario aceptaba lo que no rechazaba.
Para proceder a la recogida y al tratamiento de datos personales las organizaciones han de haber obtenido previamente un acuerdo escrito, claro o explícito de los titulares de los datos.
Por tanto, las empresas necesitarán obtener el consentimiento voluntario, específico, inequívoco e informado de las personas para procesar sus datos. También necesitarán que los usuarios opten por aceptar el procesamiento de sus datos, no será válido darles solo una opción de “opt-out” o exclusión. En otras palabras, las empresas ya no podrán pedir a los consumidores que marquen una casilla después de un extenso conjunto de términos y condiciones que la mayoría de los usuarios nunca lee.
2. La legalidad del procesamiento de datos
Las empresas que procesen datos personales deben asegurarse de que es legal, justo y transparente. No pueden usar datos para fines distintos de aquellos para los que se recopilaron, con excepciones limitadas.
El procesamiento de datos es legal si:
- Un individuo ha dado su consentimiento.
- Es necesario para la ejecución de un contrato.
- Es necesario cumplir una obligación legal en virtud de la legislación nacional o de la UE.
- Es necesario para proteger los intereses vitales de un individuo.
- Es necesario llevar a cabo una tarea de interés público en virtud de la legislación nacional o de la UE.
- Es en interés legítimo de la compañía, siempre que no se imponga sobre los derechos y libertades fundamentales de un individuo.
Si una empresa recopiló datos sobre la base del consentimiento, no puede usarlos para otros fines.
3. Tiempo y uso concreto
Las compañías no solo están obligadas al consentimiento expreso, sino que deben especificar el uso y el tiempo concreto que tienen pensado disponer de estos datos. El RGPD establece que se deben guardar no más del «tiempo necesario».
4. Portabilidad de datos
El RGPD prevé un mecanismo de portabilidad que ofrece la posibilidad de pasar de un servicio a otro. Un usuario puede solicitar a cualquier empresa que le otorgue acceso a todos los datos personales recolectados con anterioridad, para de esta forma transferirlos a otra compañía, sí así lo desea.
5. Robo de datos
Además de informar claramente a los ciudadanos para qué y cómo procesan sus datos personales, deberán informar acerca de posibles brechas de seguridad en un plazo máximo de 72 horas. Si, por ejemplo, un banco sufre un ciberataque, sus clientes deberán conocerlo antes de tres días.
6. Descarga de toda la información a un «clic»
Los usuarios tienen derecho a saber toda la información que las compañías poseen sobre ellos y a tener una copia electrónica.
7. El derecho al olvido
Aunque ya estaba en vigor, a partir de ahora se refuerza el llamado «derecho al olvido» y podrán solicitar a servicios de internet y empresas que tratan datos personales que borren todos sus datos o que se establezca el límite de tiempo que el usuario da permiso de uso de su información.
8. Mayor protección de los menores
La edad mínima aumenta de los 14 a los 16 años para acceder a los diferentes servicios digitales.
9. La letra pequeña, reflejada de forma clara
El nuevo reglamento establece que los términos de uso y las políticas de privacidad de datos deben redactarse y publicarse de una manera más sencilla y clara, es decir, comprensible para todos.
10. El Registro de Ficheros en la AEPD.
Al contrario que hasta ahora, la nueva normativa no obliga a registrar Ficheros en la Agencia Española de Protección de Datos (AEPD). Todo el cumplimiento de la normativa será responsabilidad de los obligados (Instituciones, Empresas y Organizaciones), que internamente establecerán los medios para la aplicación de la normativa.
¿Qué pasará con los ficheros registrados? Será una obligación cumplida bajo una normativa anterior, ya no habrá ningún procedimiento de presentación o de consulta de los ficheros comunicados.
11. Nuevas reglas para procesadores de datos
El RGPD distingue entre “controladores” de datos y “procesadores” de datos. Un controlador de datos determina por qué se deben recopilar y procesar los datos personales y cómo. Un procesador de datos solo procesa datos personales en nombre del controlador y generalmente es una empresa externa.
Por ejemplo, un minorista que contrata a una empresa de recursos humanos para manejar la nómina y otras funciones es el controlador de datos, mientras que la empresa de recursos humanos es el procesador de datos.
Bajo el RGPD, los procesadores de datos deben garantizar los mismos estándares que los controladores y garantizar que cumplan con los requisitos de la ley. Debe haber un contrato legal entre un procesador y un controlador, y un procesador no puede contratar a otra compañía para procesar datos sin el consentimiento del controlador.
12. Delegado de Protección de Datos
Una de las exigencias que introduce el RGPD es la designación obligatoria de un Delegado de Protección de Datos o Data Protection Officer (DPO, por sus siglas en inglés). Ahora nace una figura especializada en derecho de protección de datos que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos. Sus funciones se orientan a garantizar el cumplimiento del reglamento y asesorar al responsable del tratamiento de datos.
Sus funciones es velar o supervisar que se realiza el cumplimiento de la normativa de LOPD adecuadamente, en el caso de autoridades y organismos públicos, entidades que realicen una observación habitual y sistemática de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.
13. Nuevas sanciones por incumplimiento.
La cuantía de las multas sube de forma sustanciosa para evitar lo que se conoce como las “infracciones rentables”. Por ello, el RPGD habla de que es posible cifrar las administrativas con cantidades entre 10 y 20 millones de euros. Si hace referencia a una empresa, la multa podría ascender al 2 o 4% del volumen de negocio total, en base al anual global del ejercicio financiero anterior.
PAUTAS A SEGUIR:
1. Actualice sus documentos legales y realiza auditorías internas
En este primer punto, se tendrá que tener en cuenta qué se necesita para ajustarse al nuevo Reglamento en cada caso particular.
2. Solicite el certificado o permiso para poder procesar datos
Si el consentimiento actual que tiene no cumple con la nueva normativa, tendrá que solicitarlo de nuevo.
3. Organice una auditoría de información
Le permitirá explicar a sus clientes porque almacena sus datos y cómo trabaja con ellos, así como actualizar los datos de los empleados.
4. Informe a su equipo de trabajo
Es importante que su equipo sepa qué es el RGPD y cómo puede afectar a la empresa. Además de formarle para que lleve a cabo los procedimientos adecuados para cumplir la normativa.
5. Eliminación de datos
Es indispensable tener un sistema eficiente y eficaz que le permita borrar los datos cuando se solicite o no sean necesarios.
6. Situación de crisis
Es necesario elaborar y establecer una estrategia de gestión de crisis por si la situación lo requiriera.
7. Muestre que está cumpliendo con la normativa
Actualice sus diferentes canales, página web, redes sociales y soportes varios y ponga de manifiesto que está poniendo en práctica y cumpliendo el RGPD.
8. Canales de acceso
Aquellos que estén interesados en formar parte de sus bases de datos, acepten los términos y lo soliciten, se les incluirá. Por el contrario, aquellos que no hayan dado su autorización no se les estará permitido y no deberían entrar a formar parte de la base de datos de la compañía.
9. Protección de datos para menores de 16 años
Los menores de 16 años necesitarán el permiso de sus padres o tutor con la nueva Ley de Protección de Datos.
10. Nuevo cargo: Delegado de Protección de Datos (DPD)
Se recomienda incluir la figura de Delegado de Protección de Datos para asegurar que se respeta y cumple con lo establecido en la RGPD. Este punto no es obligatorio, pero si lo recomienda la UE. El perfil de DPD abarca desde un profesional externo a la empresa o algún trabajador que asuma el rol.
Para más información, puede consultar también la página Web de la AEPD:
https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php