¿Cumple con la reciente normativa de protección de datos?
Como probablemente conocerás, el pasado 25 de mayo de 2018 entraba en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Si bien los expertos aconsejábamos a las empresas que iniciaran la adecuación progresiva y continua desde su aprobación (el 27 de abril de 2016), la realidad con la que nos estamos encontrando es falta un largo camino que recorrer todavía para su correcta implementación.
Analizamos cuáles son los principales cambios que introduce la vigente normativa de protección de datos con el objetivo de señalar las pautas sobre las que debe trabajarse para su adaptación.
1. Consentimiento expreso para el tratamiento de datos.
El RGPD mantiene los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo y como novedad respecto de la LOPD, se indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o la inacción no constituirán una prueba de consentimiento (Considerando 32 del RGPD).
Nuestra recomendación: es aconsejable que las empresas y organismos revisen la forma en la que recaban el consentimiento y eliminen las prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa pero que dejarán de serlo cuando el Reglamento sea de aplicación. Asimismo, en relación con el tratamiento de datos de menores, se recomienda aplicar ya los requisitos de edad establecidos en el RGPD y es que no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.
2. El deber de información.
El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, debe concretarse de forma explícita la base legal para el tratamiento de los datos, el período de conservación de los datos que se recojan y advertir que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos. En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses que establecía la LOPD).
Nuestra recomendación: Es aconsejable revisar los contenidos de las leyendas legales que se hayan incorporado en los procesos de recogida de datos (on line/ off line) para adecuarlas a la redacción a los nuevos requerimientos del RGPD.
3. ¿Cuáles son los derechos de los interesados?
En el RGPD se incluyen, además de los derechos que contempla la LOPD (acceso, rectificación, oposición y cancelación) los siguientes: derecho a la transparencia de la información, derecho de supresión (derecho al olvido), derecho de limitación y el derecho de portabilidad.
Otra novedad, respecto de la LOPD, es que se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios (Considerando 59).
Nuestra recomendación: Es aconsejable que las organizaciones comiencen a implementar en sus procedimientos de información de los nuevos derechos que asisten a los interesados y para ello conviene adaptar las leyendas legales incluidas en los procesos de recogida de datos de carácter personal.
4. Evaluación de impacto del tratamiento de datos personales.
No se regula en la LOPD. Sin embargo, el RGPD establece la obligación de realizar una evaluación de impacto (Privacy Impact Assesment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del RGPD).
Nuestra recomendación: En 2014, la Agencia Española de Protección de Datos publicó la Guía para una Evaluación de Impacto en la protección de Datos Personales. Puedes consultarlo AQUÍ.
5. Comunicación de fallos a la autoridad de protección de datos.
El RGPD impone la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas los fallos de seguridad que se produzcan en su empresa. Por ello, el responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.
Nuestra recomendación: Deben preverse y protocolizarse los procesos internos para canalizar las comunicaciones de brechas de seguridad o incidentes que afecten a la protección de datos. Estas comunicaciones internas deben realizarse a la persona que asumirá la figura de Delegado de Protección de Datos o en su defecto a la persona encargada de coordinar el cumplimiento de la normativa de protección de datos.
6. Registro de tratamiento de datos.
Según lo previsto en el artículo 30 del RGPD, las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados, o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.
Nuestra recomendación: Se recomienda a las organizaciones que analicen la tipología de datos que se recogen y si son datos de riesgo o sensibles, debe ponerse en marcha la redacción del registro atendiendo a las instrucciones concretas acerca del formato y gestión facilitadas por la AEPD.
7. Aplicación de medidas de seguridad
El RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. La nueva legislación habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse, a diferencia de lo que ocurre con el actual RLOPD que describe de manera detallada cada medida de seguridad que debe implementar el responsable del tratamiento.
8. El Delegado de Protección de Datos (DPO)
El RGPD introduce la nueva figura del Data Protection Officer o Delegado de Protección de Datos obligatoria en tres casos: (i) si el tratamiento de protección de datos se lleva a cabo por autoridad u organismo público,(ii) si las actividades requieren una observación habitual y sistemática de datos a gran escala o las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
Las funciones de esta nueva figura se sintetizan en las siguientes: Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas. Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes. Supervisar la documentación, notificación y comunicación de las violaciones de datos personales. Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia. Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
Nuestra recomendación: Para aquellas organizaciones que deban contar con un Delegado de Protección de Datos, sería conveniente haberlo designado con el fin de que inicie el proceso de implementación de las novedades legislativas del RGPD de manera progresiva, así como para que vaya difundiendo en la organización los nuevos procedimientos internos.
9. Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación
El RGPD avanza en la responsabilidad proactiva del cumplimiento normativo (ligado al término accountability). Para ello, establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento, proponiendo como mecanismos efectivos de verificación del cumplimiento, la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del RGPD).
Nuestra recomendación: Es aconsejable que las organizaciones que tengan procesos complejos de tratamiento de datos o manejen datos especialmente sensibles, implementen protocolos internos o procesos de certificación que faciliten y garanticen el cumplimiento del RGPD.
Conclusión:
Cumplir con la normativa vigente es importante. Las sanciones derivadas de su incumplimiento pueden poner en riesgo la viabilidad de tu propia empresa. Las infracciones pueden alcanzar los 10 ó 20 millones de euros o, en su defecto, entre el 2 y el 4% del volumen de negocio de tu empresa.
Si tienes dudas sobre las medidas jurídicas, técnicas y organizativas que debes adoptar para culminar con éxito el proceso progresivo de adecuación o quieres implementarlo de forma que se garantice el cumplimiento de la nueva regulación europea en materia de protección de datos puedes consultarnos AQUÍ.