
Cómo cumplir con el nuevo Reglamento General de Protección de Datos (RGPD)
La protección de datos es un derecho que ya está incluido en la constitución de 1978 (artículo 18.1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen). El objetivo de las normativas referentes a la protección de datos, es saber, quien tiene nuestros datos personales, para que los quiere y cómo los gestiona.
En la actualidad, el tratamiento de los datos personales en España se rige por la Lay Orgánica 15/1999, que es la Ley Orgánica de Protección de Datos (LOPD). El Real Decreto 1720/2007 y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSICE), que se ocupa de lo relacionado con las páginas web.
Todo esto quedará derogado por el nuevo Reglamento de Protección de Datos (RGPD), aprobado en el 2016 y que entrará en vigor el 25 de mayo del 2018. Y está en proyecto de aprobación una nueva LOPD, que completará algunos aspectos de este nuevo reglamento general.
Este RGPD establece obligaciones legales, técnicas y organizativas a cualquier empresa, organización, actividad o autónomo, que gestione datos personales en su día a día. La Agencia Española de Protección de Datos (AEPD), es la que se encarga de velar por el correcto cumplimiento de estas obligaciones. Pudiendo sancionar a quién lo incumpla. El nuevo RPGD endurece las sanciones económicas a este respecto, pudiendo llegar a sancionar, incluso con un % sobre la facturación total del infractor. Pensado, obviamente, para controlar a las grandes empresas.
Básicamente, este nuevo Reglamento nace para armonizar las distintas medidas que tenían los diferentes países Europeos. Y ofrecer más garantías al ciudadano para saber que se hace con sus datos. Y porque no decirlo, controlar a las grandes potencias de internet que manejan datos libremente y se lucran o influyen de forma directa en la sociedad, la economía o la política con ellos. En definitiva, se trata de potenciar y dar mucho más valor a una nueva cultura de la privacidad de los datos (a nivel personal, pero sobre todo a nivel empresarial).
LOPD o lo que tendrías que haber hecho hasta ahora
Cualquier empresa, organización o autónomo que gestionaba datos personales, debería haber cumplido a día de hoy:
- Tener una serie de ficheros registrados en la AEPD (clientes, usuarios web, proveedores, etc…). La AEPD los publicaba de manera que cualquier ciudadano podía consultar que ficheros tenía la empresa en cuestión.
- Tener un documento de medidas de seguridad, que explique las medidas de gestión backups, contraseñas, usuarios que acceden a datos, etc…
- Tener acuerdos de confidencialidad con los trabajadores y con las empresas que nos prestan un servicio y acceden a nuestros datos
- Tener incluidas clausular de información y consentimiento para el uso de los datos en todo tipo de documentación que solicitase datos personales.
- Disponer de Avisos legales en la web.
- Atender los derechos de Acceso, Rectificación, Cancelación y Oposición.
- Implantar las medidas técnicas para que esto se pueda cumplir.
- La LOPD establecía niveles de datos y las medidas a aplicar estaban asociadas al nivel de esos datos; nivel básico (nombre), nivel medio (cuentas del banco), nivel alto (información sanitaria).
Descubre todo lo que cambia con el nuevo RGPD
- El registro de ficheros ya no se va a realizar de la misma forma. No habrá obligación de notificar estos ficheros a la AEPD y a cambio, se deberá llevar un registro de actividades de tratamiento de datos desde la empresa, con datos como:
- Qué tipo de datos tratamos.
- Cómo se gestionan estos datos.
- Quién es el Responsable de tratamiento.
- La finalidad del tratamiento.
- El periodo de conservación.
- Las medidas de seguridad.
Estará en manos de la empresa, pero con la obligación interna de documentarlo y ponerlo a disposición de la AGPD si lo solicita.
- También hay un cambio en relación a los empleados. Se mantiene este compromiso escrito y firmado, pero se amplía para:
- Informar que se gestionan sus datos.
- Que el trabajador se compromete a no hacer un mal uso de los datos a los que accede en su día a día.
- Se debe ampliar la información en los contratos con terceros, informando detalladamente sobre qué tipo de datos se ponen en común, la finalidad de los mismos, etc…
- Del mismo modo, se amplía la información para el consentimiento del uso de los datos. En todo tipo de documentación, como facturas, contratos, albaranes… en toda la documentación que requiera de datos personales, se deberá explicar el alcance de los mismo de una forma más completa, como la base jurídica para solicitarlos, que terceros los van a tratar, etc…
- Respeto a las bases jurídicas para el trato de estos datos:
- Consentimiento
- Libre, informado, específico e inequívoco.
- No se admite consentimiento tácito.
- Esta aceptación de consentimiento debe ser verificable.
- Prohibidas las casillas premarcadas.
- No para menores de 13 años.
- Derechos: se añaden cuatro a los que ya existen en la LGPD:
- Derecho al olvido (a que nuestros datos se eliminen).
- Derecho a la portabilidad (que mis datos puedan ir de una compañía a otra).
- Derecho de limitación (que pueda limitar el uso de mis datos).
- Derecho de indemnización (se puede denunciar y conseguir un beneficio económico).
- Respeto a la seguridad de los datos. Queda en manos del empresario encargarse de aplicar las medidas técnicas necesarias para cumplir el Reglamento. Se exige responsabilidad pro activa* (accountability), así como un análisis de riesgos y evaluaciones de impacto**. Y estas medidas se podrán establecer teniendo en cuenta algunos parámetros del tipo:
- Coste de la medida y de su aplicación.
- La naturaleza, el alcance y la finalidad del tratamiento de esos datos.
- El riesgo contra los derechos y las libertades.
- Consentimiento
* La responsabilidad pro activa, implica la aparición de 2 nuevos conceptos: Responsabilidad desde el Diseño: es decir que desde el principio de un proyecto se deben aplicar estas medidas organizativas y técnicas para que el tratamiento de datos cumpla con el RGPD. Y el concepto de “Por Defecto”: que implica que los responsables deben tomas las medidas que garanticen que únicamente se tratan los datos estrictamente necesarios (minimización en la recogida).
** Será necesario hacer una evaluación de los riesgos que puede tener la empresa, en función de la tipología de datos que se tratan. Por tanto, las soluciones a desarrollar serán diferentes en cada empresa.
- El RGPD no establece medidas concretas* por la tipología de los datos. Se mantienen el concepto de “datos sensibles” y aparecen los “datos biométricos” y los “datos genéticos”. Pero deja en manos del empresario que decida qué medidas tomará para cada uno de ello.
* A pesar de que el RGPD no determina cuales son las medidas a tomar por el responsable para garantizar la seguridad en el tratamiento de datos, si que en su artículo 32, especifica unas medidas mínimas, como:
- Seudonimización.
- Cifrado
- Y la obligatoriedad de garantizar la:
- Confidencialidad de los datos requeridos y tratados.
- Integridad de los mismo y que se mantengan es estado de conservación óptimo.
- Disponibilidad cuando sean requeridos.
- Resiliencia, es decir realizar las correspondientes copias para tenerlas disponibles y restauradas en caso de desastre.
Básicamente se trata de respetar los principios de licitud, lealtad y transparencia. Así como la limitación de la finalidad de los datos requeridos, la minimización de los mismos (únicamente los imprescindibles para lo que se solicitan), la exactitud de los mismos y la limitación del periodo de conservación. Asegurando por supuesto la integridad de los mismos y su confidencialidad.
- Aparece la figura del Delegado de Protección de Datos (DPO), que únicamente es obligatoria para:
- Entidades públicas.
- Empresas que requieran una observación habitual y sistemática de interesados a gran escala.
- Tratamiento a gran escala de datos sensibles.
Podrá ser una figura de plantilla o un profesional interno. Su misión es supervisar el nuevo RGPD y ser el enlace entre la empresa y la AEPD. Las empresas que tengan está figura deberán notificarlo a la AEPD. La propia AEPD está habilitando a algunas entidades para que puedan certificar a los futuros DPO.
- En caso de producirse una violación en la seguridad de los datos, con el nuevo RGPD, se deberá informar a la AEPD en un plazo máximo de 72 horas. Aunque no solo es obligatorio comunicarlo cuando esta violación de seguridad implique un riesgo real en lo referente al tratamiento de datos. Lo que si es obligatorio será documentar todo tipo de violaciones en la seguridad que afecten (en mayor o menor medida) al tratamiento de datos personales. Y en caso excepcional de suponer un riesgo alto, se deberá notificar también de la situación a los afectados.
Sanciones con el nuevo RGPD
Con la LOPD, las sanciones podían ir desde los 900€ a los 600.000€ y en este ámbito se produce uno de los cambios fundamentales, ya que el radio sancionador se amplia de una forma muy explícita:
- Sanciones Graves: hasta 10 millones de euros (o un 2% de la facturación anual de la empresa en el año previo a la sanción).
- Sanciones Muy Graves: hasta 20 millones de euros (o un 4% de la facturación anual de la empresa en el año previo a la sanción).
¿Y cómo afecta el RGPD a las actividades en Internet?
Actualmente la protección de datos en internet está afectada por la LOPD y la LSSICE. El nuevo RGPD obliga a disponer de los siguientes avisos en tu página (siempre que esta constituya una actividad económica o lucrativa):
- Aviso Legal: toda la información de la empresa, cumpliendo con el principio de transparencia.
- Política de privacidad: toda la información referente al uso que se va a hacer con el tratamiento de los datos recogidos.
- Política de cookies: en caso de utilizarlas, se debe solicitar el consentimiento para usarlas, informar de cuales se usan, la finalidad de usarlas y los posibles mecanismos para desactivar su uso de forma voluntaria.
- Condiciones generales de contratación: estas son solo obligatorias para ecommerce específicas para cada tienda online.
- Cláusula para las comunicaciones comerciales: con la posibilidad de darse de baja en la recepción de estas comunicaciones.
Para el envío de comunicaciones vía electrónica, se debe solicitar un consentimiento voluntario expreso de los destinatarios y registrarlo, con la finalidad de poder demostrar que se tiene la autorización. Además de disponer de este consentimiento previo, estas comunicaciones deben incluir:
- Cláusula de información referente al tratamiento de datos.
- La posibilidad de darse de baja de esa lista.