El nuevo reglamento se empezó a aplicarse el 25 de mayo de 2018 en toda Europa. Esto ha supuesto que muchas empresas y particulares tengan que adaptarse a esta nueva ley que entró en vigor en la comunidad europea después de 4 años de preparación y debates.
Después de los dos años de margen para adecuarse a las nuevas obligaciones, todavía hay muchas empresas que no han adaptado sus estructuras.
Según un estudio realizado por RSM (que es la 6ª organización más importante de auditoría, fiscal, legal, consultoría y European Business Adwards), el 92% de las empresas europeas aún no están preparadas para el nuevo reglamento de la GDPR / RGPD. Además, el 28% de las empresas no están ni familiarizadas con esta regulación, y el 51% piensan que es una reglamentación muy compleja para las PYMES.
RSM, en su estudio dice que solo el 8% de las empresas europeas estarán listas y con todos los cambios realizados para cumplir el nuevo reglamento de protección de datos europeo.
Antes de entrar en materia e informaros de los cambios sufridos por el reglamento europeo, vamos a empezar explicando qué son la RGPD, GDPR y la LOPD para poder avanzar por estos cambios. Cada ley o reglamento tienen jurisdicciones que se solapan por lo que han generado muchos malentendidos y confusiones. Hoy desde Coregistros.com queremos poner un poco de luz sobre este tema tan importante, que afecta a toda empresa que trabaje en la Unión Europea o que trabaje con clientes/proveedores de la Unión Europea en materia de datos.
¿La (Ley Orgánica de Protección de Datos) LOPD qué es?
La LOPD que es «la ley protección datos personales”, es una ley que muchos que nos dedicamos al tema hace tiempo que conocemos y tuvimos que adaptarnos en su momento a ella. Esta ley Española, recalco lo de que es una ley Española, y no un reglamento nacido desde la Comunidad Europea como la GDPR / RGPD ( reglamento general protección datos ), es la que hasta el día 25 de mayo del 2018 regirá la protección de datos de carácter personal (teniendo por objetivo garantizar y proteger, los datos personales de las personas físicas dentro de España).
Ahora que sabemos la LOPD que es, sabemos que es la ley orgánica de protección de datos (LOPD), y que está fundamentalmente basada en el derecho a la intimidad, tanto personal como familiar además del secreto de las comunicaciones. Esta ley tiene el claro objetivo de regular el tratamiento datos personasles, datos y ficheros. Las obligaciones de las personas que los tratan, almacenan, los crean, etc… Esta ley es obligatoria tanto para particulares y empresas como para la administración pública (aunque en caso de la administración pública existen excepciones en datos de contenido sensible como listas de criminales, terroristas y otras excepciones).
La agencia que se encarga del cumplimiento de estas normativas y vigila la aplicación de estos derechos es la Agencia Española de Protección de Datos (AEPD), aunque existen otras de carácter autonómico.
El incumplimiento de esta ley supone según su grado de incumplimiento (leve, graves y muy graves), unas sanciones de entre 900€ a 600.000€.
Resumen
¿Qué es la LOPD (Ley Orgánica Protección Datos) ?
Es una ley que garantiza las libertades y derechos de las personas físicas.
¿Quién la regula?
La AEPD (la Agencia Española de Protección de Datos), es el órgano regulador que se preocupa porque se aplique de forma correcta.
¿A quién afecta la LOPD?
Afecta tanto a particulares, empresas y administración pública que posean datos personales, tanto en medios físicos como digitales.
Obligaciones para el cumplimiento de la LOPD
1.-Deber de la información:
Hasta ahora es obligatoria la declaración de los ficheros a la Agencia Española de Protección de Datos (AEPD). Se ha de informar siempre del tratamiento de datos personales, la finalidad de esta recogida de datos y quienes van a ser los destinatarios de estos datos recogidos. También se ha de informar siempre de los derechos ARCO (derechos del usuario a acceso, rectificación, cancelación y oposición al uso de estos datos) y la identidad de la persona, empresa o administración que está tratando o recopilando estos datos.
2.-Consentimiento:
Siempre ha de haber un consentimiento de la persona que cede sus datos, aunque dependiendo del tipo de datos suministrados, el consentimiento puede variar entre tácito, expreso o expreso y por escrito.
3.-Comunicación de datos:
Han de realizar una comunicación de los datos todas aquellas personas físicas, empresas, asociaciones, administración pública etc… siempre que se recojan datos de terceras personas.
4.-Acceso a los datos por cuenta de terceros:
Siempre que se vaya a realizar un tratamiento de datos por una persona ajena a la empresa, persona física propietaria de los datos, administración pública que recogió los datos, etc… se deberá realizar un contrato que deberá ser por escrito o de cualquier forma que permita acreditar su realización.Los datos una vez finalizado el acuerdo, deberán ser destruidos o devueltos al responsable de estos datos.
Si una persona física, jurídica o entidad pública encargada del tratamiento de los datos los destina a otras finalidades diferentes a la del acuerdo, o los comunique sin la autorización necesaria, será responsable y responderá de las infracciones cometidas.
¿Qué son los derechos ARCO?
Los derechos ARCO son el grupo de derechos que garantizan a los individuos el poder controlar sus datos (acceder a ellos, rectificar estos datos, cancelar los datos u oponerse a que se usen esos datos para ciertas campañas publicitarias, por ejemplo).
Una vez explicada la LOPD de forma general y sin entrar al detalle, sabemos que esta ley española protegía nuestros derechos dentro de nuestro país únicamente. Ahora, con la entrada de la GDPR / RGPD ( reglamento general protección datos ) supondrá cambios en la regulación de nuestros derechos ya que esta nueva normativa protección de datos alcanzará a todos los ciudadanos europeos. Mucho más estricto que la actual ley orgánica de protección de datos (LOPD), especialmente en lo relacionado con los entornos digitales, el nuevo RGPD se impondrá sobre las regulaciones legales de cada país hasta el punto de que los responsables de un negocio (sea on-line o no) deberán aplicar cada una de sus exigencias si quieren evitar las multas de hasta 20 millones de euros que pueden traer consigo el incumplimiento de cualquiera de los puntos estipulados por este nuevo reglamento de influencia a nivel europeo.
¿Esto quiere decir que si cumplo la LOPD no he de preocuparme por la GDPR / RGPD?
Todo lo contrario, has de cumplir sí o sí el nuevo reglamento de la UE, este reglamento ha apartado o desplazado parcialmente a la desfasada ley de protección de datos personales, por lo que se van a realizar cambios en la LOPD también para que no se pisen entre ellas y creen confusiones, además la nueva LOPD tendrá en cuenta algunos supuestos que no se especifican en la GRPD.
¿La GDPR / RGPD qué es?
La GDPR / RPGD (Reglamento General Protección Datos) es un acuerdo europeo que fue aprobado por el parlamento europeo el 14 de abril del 2016, aunque su vigor y cumplimiento será el próximo 25/05/18.
El reglamento europeo de protección de datos ha sido creado para tener una heterogeneidad en las leyes de protección de datos en los diferentes países que conforman la UE, ya que hasta ahora cada país era regulador de su propia normativa. En este artículo queremos informar de los puntos clave del nuevo “reglamento protección de datos” y como han de adaptarse estos a la nueva regulación.
Los cambios que se van a realizar respecto a la ley existente (LOPD) van a ser cambios importantes. Estos cambios afectan a particulares, empresas, asociaciones, entidades públicas… todas aquellas entidades que posean datos personales de ciudadanos europeos, sin importar que esas empresas sean europeas o no, han de cumplir la GDPR / RGPD si almacenan o tratan con datos tanto en medios físicos como digitales.
¿Cómo afecta la GDPR / RGPD a la LOPD?
Como hemos comentado es un reglamento europeo, que todos los países de la EU han de cumplir, estando este reglamento por encima de la LOPD, lo que va a hacer que la LOPD cambie y sea más detallada y estricta que hasta ahora.
Los datos obtenidos anteriormente con la LOPD no serán válidos si no se obtuvo el consentimiento de manera expresa. Se deberá solicitar nuevamente el consentimiento de los datos de todas aquellas personas de las que disponemos sus datos y cuyo consentimiento se obtuvo de forma tácita.
¿Quiere decir esto que tenemos que pedir el consentimiento a todo el mundo? ¿He de volver a solicitar el consentimiento de todas las personas que tengo en mi base de datos?
¡La respuesta es un NO! Solo se ha de solicitar nuevamente la autorización para mantener estos datos personales en nuestra base de datos si estos fueron obtenidos de forma distinta a la que el nuevo reglamento obliga, todo el resto de los datos ya no serán válidos a menos que vuelvan a confirmar su autorización de acuerdo con el nuevo reglamento. También será el momento de ver si en su momento decidimos comprar base de datos o alquilar base de datos, ya que si esta base de datos fue obtenida de forma que ahora no necesitemos confirmar nuevamente la autorización, ya que hay empresas como Coregistros.com que obtuvieron los datos cumpliendo el actual RGPD.
El nuevo cambio obligará a utilizar otros procesos para adecuarnos a la nueva normativa y así obtener el consentimiento expreso de la persona. Además, se ha de guardar un comprobante de la obtención lícita de los datos, ya que, en caso de ser denunciados, tendremos que probar que estos datos fueron obtenidos conforme indica el reglamento europeo de protección de datos.
Resumen
¿Qué es la GDPR / RGPD ?
Es el nuevo reglamento europeo de protección de datos que garantiza las libertades y derechos de las personas físicas por estar en UE, teniendo efecto tanto dentro como fuera de la UE si estos datos se relacionan con personas físicas de la UE (ahora si un correo de empresa se relaciona con un nombre de persona física, este reglamento también cubriría su protección de datos).
¿Quién la regula?
En cada país cada agencia de protección de datos cuidará que se cumpla este reglamento y sancionará en caso de tener que hacerlo. La Agencia Española de Protección de Datos (AEPD) será la encargada de supervisar y controlar que se cumple este reglamento en España.
¿A quién afecta el reglamento europeo de protección de datos?
El reglamento europeo de protección de datos afectará a todas las personas físicas, jurídicas, sociedades, organizaciones, administraciones públicas y privadas, etc… que almacenen o traten datos de ciudadanos o residentes europeos, independientemente de la ubicación donde se encuentre la entidad que recopila, trata o almacena estos datos.
Obligaciones para el cumplimiento del reglamento protección de datos
El consentimiento inequívoco explícito
El consentimiento inequívoco es aquel que se realiza mediante la acción del interesado, a través de una confirmación clara y de forma afirmativa. Ya no se admiten formas de consentimiento tácito o por omisión, ya que estas formas se basan en la no acción del interesado para su confirmación (se acabó el si aprietas este botón autorizas o consientes…).
Se ha de evitar los textos legales con vocabulario técnico o inteligible para el interesado (se acabaron los famosos textos de la ley orgánica 15/1999 de protección de datos…), se acabaron las casillas premarcadas, además el consentimiento tiene que estar claramente distinguible de los otros asuntos. Adiós al opt out, y ¡Hola!, al opt in.
Se tendrá que informar de la finalidad del tratamiento de los datos, en caso de que existan múltiples finalidades, se tendrá que crear un consentimiento por separado para cada una de sus finalidades, ha de quedar muy claro el motivo por el que se captan y quién los capta (ejemplo: si queremos enviarle publicidad de dos campañas, tendrá que hacer un check sobre cada campaña y la entidad que capta los datos).
Consentimiento por parte de menores.
Los estados miembros de la UE podrán rebajar la edad en el ámbito de la información a los menores hasta los 13 años, siendo cada estado quien pueda decidir sobre esta normativa, en caso de que no estuviera definida, la edad tendrá que ser superior a los 16 años. Por esta razón, el lenguaje que se utilice siempre tendrá que ser fácil de entender por cualquiera, incluso niños pequeños han de tener la capacidad de entender cualquier texto utilizado para informarles de las diferentes políticas.
Introducción de nuevas categorías considerados como datos especiales
A parte de los que antes ya se consideraban como datos especiales y eran tratados de forma especial, ahora en el nuevo reglamento, se incorporan dos categorías nuevas:
Datos genéticos:
Son aquellos datos personales obtenidos de pruebas genéticas de personas físicas, de una muestra biológica.
Datos biométricos:
Son aquellos datos personales obtenidos de un tratamiento técnico específico, que permitan la identificación de la persona (imágenes, datos análisis, etc…).
Inscripción de ficheros en la AEPD
A partir del 25 de mayo del 2018, ya no existirá la obligación de notificar a las autoridades de control los ficheros de datos creados.
Registro del tratamiento de datos
La RGPD crea nuevas obligaciones documentales para los responsables o encargados del tratamiento de los datos, aunque se exceptuará a aquellas entidades jurídicas con menos de 250 trabajadores y traten datos que no supongan un riesgo para los derechos y las libertades de las personas, ni datos de carácter categorizados como especiales.
Los responsables de datos y encargados del tratamiento de datos tendrán que llevar un registro de las actividades realizadas.
Esta información estará compuesta por:
1.- Nombre y contacto del responsable y DPO o DPD si existe.
2.- Finalidades del tratamiento de los datos.
3.- Datos personales tratados, descripción del interés y del interesado.
4.- Transferencias internacionales de datos.
5.- Cuando se eliminarán los datos.
6.- Cuando sea posible, describir las medidas y organizativas de seguridad.
Contrato de tratamiento de datos
El contrato que se realice para el encargo de tratamiento de datos será más restrictivo y deberá prever nuevos puntos:
1.- El motivo del encargo
2.- La duración que tendrá el encargo
3.- La naturaleza del tratamiento de datos
4.- El tipo de datos que se va a tratar
5.- La categoría de interesados
6.- Las obligaciones y los derechos del responsable del tratamiento de los datos
7.- Obligación de que las personas que vayan a tratar los datos se comprometen a mantener la confidencialidad de los datos.
8.- Asistencia para que se pueda atender la solicitud de ejercicio de derechos
9.- La devolución o eliminación de los datos una vez acabado el plazo
10.- Poner a disposición del responsable de los datos toda la documentación disponible por parte del encargado de los datos.
Los encargados de los datos deberán llevar un registro de las actividades del tratamiento de los datos, además de determinar las medidas de seguridad que se han de aplicar a los datos, o asignar a un DPO / DPD.
Los responsables de los datos tendrán que escoger personas que ofrezcan garantías para realizar sus funciones de manera independiente. Esta norma se extenderá cuando se subcontraten operaciones de tratamiento con otros subencargados.
Los encargados o subencargados que estén adheridos o certificados según las directrices de la RGPD, cumplirán con las garantías demandadas por la RGPD.
DPD (Delegado Protección Datos ) / DPO (Data Protection Officer)
Esta figura es una de las nuevas novedades dentro del nuevo reglamento protección de datos. El DPO / DPD va a ser la persona o entidad contratada que estará encargada del cumplimiento del reglamento de protección de datos dentro de las organizaciones. Esta nueva figura física o jurídica (persona o empresa) actuará de forma independiente para la regulación del reglamento de protección de datos dentro de la empresa, sin sustituir las funciones que desarrollan las autoridades de control como la AEPD.
El delegado protección datos no es una figura obligada para las empresas, aunque en caso de no tenerla, tendrán que tener una formación necesaria, en caso contrario sería una violación grave de las normas.
Existe la posibilidad de certificarse como DPO, aunque esta certificación no será obligatoria, pero supone una garantía de la certificación de la competencia mencionada.
Casos obligatorios del DPO / DPD
1.- El tratamiento de datos lo realice un organismo público (excepto jueces y tribunales)
2.- Cuando el tratamiento sea habitualmente por gran cantidad de interesados.
3.- Cuando los datos sean relativos a categorías datos personales especiales, relativos a condenas o infracciones penales.
Funciones del DPO / DPD
1.- Informar sobre las obligaciones al responsable o al encargado del tratamiento de los datos.
2.- Supervisar el cumplimiento del reglamento de protección de datos.
3.- Asesorar sobre la evaluación de impacto sobre la protección de datos.
4.- Cooperar con la pertinente autoridad de control.
5.- Ser la persona de enlace relativas al tratamiento de datos.
El DPO / DPD será de carácter público, tendrá que ser público tanto su nombramiento como los datos de contacto de esta figura, además de tener que ser comunicado a la autoridad competente. Esta figura ha de tener autonomía para realizar sus funciones. Además, la dirección, encargado o responsable de datos han de facilitar todos los recursos para desarrollar su actividad.
La RGPD promueve los mecanismos para la certificación, sellos, marcas etc… para demostrar el cumplimiento del RGPD, aunque no obliga a estas certificaciones.
Evaluaciones de impacto a la protección de datos (EIPD)
Se hará uso de esta herramienta cuando exista un riesgo potencial para la libertad y los derechos de las personas físicas, el responsable ha de realizar una auditoría o una evaluación de las operaciones.
Corresponderá al responsable del tratamiento la obligación de la EIPD y no al DPO / DPD, aunque este proporciona el asesoramiento necesario para el desarrollo de la ejecución de la EIPD.
En los casos en la que la EIPD detecte un alto riesgo pero que no pueda evitarse o que para ello se tenga un gran coste en la aplicación, el responsable deberá consultar a la autoridad competente, con un envío de la documentación correspondiente y el informe de la evaluación de impacto.
La autoridad correspondiente informará por escrito al responsable o encargado sobre su decisión, pudiendo prohibir la operación de tratamiento.
Medidas de seguridad
A diferencia de la LOPD, la RGPD no establece un listado de medidas de seguridad, sino que es el responsable y el encargado del tratamiento quienes aplicarán medidas para adecuarlas al riesgo que conlleve el tratamiento datos personasles, lo que significa una evaluación de los riesgos para cada tratamiento.
Para los análisis de riesgo se deberá tener en cuenta la naturaleza de los datos tratados, el número de interesados, la cantidad de tratamientos o la variedad de estos.
Las grandes entidades que los traten deberán analizar por regla general con una de las metodologías ya existentes, para aquellas entidades más pequeñas y con tratamientos de menor complejidad, será el resultado de una reflexión, como pueden ser:
¿Los datos son sensibles?
¿Hay muchos datos particulares a tratar?
¿Se han de elaborar perfiles con estos datos?
¿Se han de cruzar datos de los interesados con otros datos de otra fuente?
¿Para qué tipo de finalidad se utilizan los datos?
Se utilizan tecnologías invasivas de la privacidad, ¿cómo geolocalización, videovigilancia, etc.?
Contra más respuestas afirmativas hayas a estas preguntas, mayor sería el riesgo del tratamiento, Así que, si por el contrario hubiera un gran número de respuestas negativas, significaría que el riesgo es bajo y no supondría poner en marcha medidas especiales.
Transferencia de datos internacionales
¿Cuándo se podrán comunicar lo datos fuera del espacio de la EU?:
1.- A países a los que la RPGD haya reconocido que ofrecen un nivel de protección adecuado
2.- Cuando haya una garantía que en el lugar de destino recibirán una protección adecuada de los datos.
3.- Cuando exista interés por parte del titular o a intereses generales, aunque no existan garantías de protección de los datos.
4.- Las garantías de seguridad las ha de ofrecer el explotador de los datos, el cual deberá ser un responsable o encargado de tratamiento.
Autoridad única de protección de datos
Implantación de una autoridad única tanto para personas como empresas que trabajan en diferentes países y debían tener una entidad interlocutora en cada país. A partir de la puesta en marcha de la nueva normativa Europea, será suficiente con escoger una única entidad interlocutora, evitando tener una para cada país.
Códigos de conducta
Para la correcta aplicación del reglamento, el RGPD regulará estos códigos que pueden promover ciertos organismos y asociaciones de categoría de responsables o encargados de tratamiento de datos.
Informar a los afectados en caso de una brecha en la seguridad
Todos los particulares, empresas, organizaciones etc… tendrán el deber de notificar a la autoridad pública del país en caso de haber habido una infracción grave o brecha de seguridad y estos datos hayan sido expuesto (deberá realizarse esta notificación en un plazo de 24 a 72h como máximo).
Necesidad de plan de contingencia para las brechas de seguridad
Se necesitará un plan de contingencia en caso de haber una brecha de seguridad para poder responder de forma correcta en un plazo de 24 a 72h marcado por el nuevo reglamento de la UE, además de una evaluación de impacto en la protección de datos (EIPD) para conocer los riesgos que puede entrañar para los posibles afectados en una brecha de seguridad. Una vez realizado el informe, se tomarán medidas para la gestión de estos riesgos y solventarlos.
¿Qué derechos tiene un usuario en el nuevo reglamento europeo de protección de datos?
Notificación de infracción
Tendremos derecho con el nuevo reglamento de la GDPR, a la notificación de las violaciones que se hayan realizado sobre nuestros datos personales. Este derecho será obligatorio en todos los estados miembros de UE en los que una violación de datos pueda «suponer un riesgo para los derechos y libertades de las personas». Esta notificación debe hacerse dentro de las 72 horas de haber tenido conocimiento del incumplimiento.
Existen ciertas excepciones:
-.Cuando los datos que han sido extraídos estén codificados o encriptados, no pudiendo ser accesibles.
-.Cuando comunicar la violación sufrida sea realmente complejo de realizar.
Derecho de acceso
Las personas tendrán derecho a tener la información de si un particular, empresa, administración, etc… está tratando sus dados y a poder acceder a estos mismos datos, además del deber de la empresa a dar a conocer la confirmación de si se están tratando o no los datos personales que les conciernen, dónde y con qué fin. Además, el responsable del tratamiento facilitará gratuitamente una copia de los datos personales en formato electrónico.
Derecho al olvido
Este derecho también es conocido como el de borrado de datos El derecho al olvido proporciona al interesado la posibilidad de que el responsable del tratamiento de datos borre estos, cese la difusión de los datos y, en su caso, a que terceros interrumpan el tratamiento de los datos. Existen ciertas condiciones para el borrado de estos datos, ya que los datos no han de ser pertinentes para los fines originales del tratamiento o que el interesado revoque su consentimiento. También se ha de valorar el hecho de que estos datos no sean «del interés público en la disponibilidad de los datos».
Derecho a la limitación
Este derecho se realizará a petición de la persona interesada y se aplicará para que no se realice ningún trato de sus datos.
Se procederá a aplicar el derecho a la limitación cuando el interesado haya ejercido su derecho a la rectificación u oposición, mientras se determina la solicitud.
El tratamiendo de los datos se esté realizando de forma ilícita, pero el interesado se oponga al borrado de los datos, a pesar de que este tratmiento al ser ilícito supondría un borrado de los datos.
Cuando haya expirado el plazo del tratamiento de los datos, pero el interesado solicite que no se borren estos.
Portabilidad de datos
GDPR introduce la portabilidad de los datos: el derecho del interesado a recibir sus propios datos personales, que previamente ha facilitado en un «formato de uso común y legible por máquina» y a transmitirlos a otro responsable del tratamiento.
Privacidad por diseño
La privacidad por diseño como concepto ha existido durante años, pero apenas se está convirtiendo en parte de un requisito legal con el GDPR. En su esencia, la privacidad por diseño requiere la inclusión de la protección de datos desde el inicio del diseño de los sistemas para que desde su inicio hasta su procesamiento estén completamente protegidos, así como a limitar el acceso a los datos personales a las personas que deban llevar a cabo el tratamiento.
Responsabilidad por incumplimiento de la GDPR / RGPD
Dependiendo de la gravedad del incumplimiento, las sanciones pueden variar, pudiendo llegar hasta el 4% del volumen del negocio total anual de la empresa (hasta 20 millones de euros).