¿Qué es eso del RGPD?

Quizá en los últimos meses hayas oído hablar del Reglamento General de Protección de Datos, o RGPD. Parece que hay cierta histeria general en el mundo de los blogs últimamente, así que hoy hablamos de esta nueva normativa y cómo va a cambiar todo lo que sabías sobre la protección de datos.

Cógete un café o lo que te apetezca, que esto es un poquito más largo que otras veces.

 

¿Qué es el RGPD?

El Reglamento General de Protección de Datos o RGPD, (GDPR por sus siglas en inglés: General Data Protection Regulation) es el nombre genérico que se da al

Reglamento (UE) 679/2016 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Este Reglamento, que se publicó en el BOE el 4 de mayo de 2016, establece un período de dos años en el que las empresas, ya sean públicas o privadas, deberán adaptarse a lo dispuesto por la normativa.

Y dado que el periodo de adaptación finaliza este 25 de mayo de 2018, he aquí la razón de la histeria.

Hasta entonces, la Ley Orgánica de Protección de datos (la famosa LOPD) tomaba como base la directiva que deroga el RGPD, así que básicamente el 25 de mayo la LOPD pasará a la historia, junto con el Real Decreto que la desarrollaba.

Señores, han cambiado las reglas.

 

¿En qué se diferencian el RGPD y la LOPD?

Pues básicamente, en casi todo. Los que estén familiarizados con la LOPD reconocerán el esquema de niveles de seguridad básico – medio – alto para clasificar los ficheros de datos que tiene una empresa.

Bien, ese esquema deja de ser válido con la llegada del RGPD. Tampoco existirá la figura del Responsable de Seguridad, ni el Documento de Seguridad, ni la obligación de dar de alta los ficheros en la Agencia Española de Protección de Datos, que es la autoridad de control competente en la materia.

Esto implica que, aunque la Agencia seguirá siendo la autoridad de control, sus funciones variarán ligeramente, al menos hasta que se desarrolle una ley a nivel español que desarrolle el RGPD (así como la LOPD desarrollaba la Directiva 95/46/CE, y el Real Decreto, a la propia LOPD).

El RGPD revoluciona nuestra forma de entender la protección de datos, y ahora vas a ver por qué.

Normativas RGPD

Normativas en protección de datos y el RGPD

Novedades principales del RGPD

El RGPD toma como base tres principios a la hora de regular la protección de datos:

  • El principio de responsabilidad proactiva de las empresas.
  • El principio del riesgo como referencia.
  • El principio de la protección de datos desde el diseño y por defecto.

Que se aplique el principio de responsabilidad proactiva a las empresas en materia de protección de datos quiere decir que estas serán las que decidan sobre las medidas de seguridad a aplicar, en función del contexto de peligrosidad y naturaleza del tratamiento.

De hecho, con el nuevo RGPD las empresas estarán obligadas a poder demostrar que siguen lo que exige el Reglamento, y deberán ser capaces de hacerlo en cualquier momento, si se lo exige un interesado o una empresa para la que realicen un servicio que implique tratar datos personales de los que ella es responsable.

Es decir, aunque todas las empresas deberían estar adaptadas al RGPD antes del 25 de mayo, si hay algunas que lo deben estar por demás pueden ser, por ejemplo: asesorías, mutuas de prevención, servicios de informática…

Además, será necesario tener en cuenta los distintos riesgos y amenazas para establecer procedimientos que permitan salvaguardar los derechos y libertades fundamentales de los interesados, es decir, aquellos cuya información personal se maneja.

Y, por último, se deberán aplicar estas medidas desde el minuto uno; desde antes, incluso, de que tenga lugar la recogida de los primeros datos.

El RGPD va a hacer que aquellos que realizan tratamientos de datos personales comiencen a ser conscientes de que esa información no les pertenece, y va a permitir a los interesados ganar poder sobre la información propia que otros tratan.

Principios RGPD

Principios del RGPD

El consentimiento inequívoco

El primer gran cambio que introduce el RGPD es la consideración del consentimiento. En esta normativa el consentimiento debe ser inequívoco, y provenir de una clara acción afirmativa. Esto quiere decir que los consentimientos por omisión que se venían aceptando hasta ahora, dejan de servir.

De hecho, de ahora en adelante deberíamos dejar de ver casillas premarcadas en formularios, o expresiones del tipo “si no marcas esta casilla…”. Aquellas entidades que hayan obtenido consentimientos por omisión en el pasado y que quieran seguir tratando datos personales obtenidos a través de este tipo de estrategias, tendrán estas opciones:

  • O dejan de tratar los datos personales así obtenidos.
  • O recaban un nuevo consentimiento inequívoco.
  • O buscan una nueva base legal para justificar el tratamiento de esos datos (por ejemplo, el interés legítimo del responsable del tratamiento, o la existencia de un contrato en vigor).

En cualquier caso, es importante recalcar que los consentimientos recabados por omisión dejarán de avalar el tratamiento de datos personales a partir del día 25 de mayo.

El consentimiento explícito y el consentimiento de menores

La cuestión del consentimiento inequívoco no es la única novedad del RGPD en cuanto a este tema. Como veremos más adelante, uno de los nuevos derechos que reconoce el RGPD otorga a los interesados la capacidad de negarse a ser objeto de decisiones individuales automatizadas, incluyendo la elaboración de perfiles.

Esto, así redactado, puede resultar un poco confuso, pero se entiende bien con un ejemplo: las listas de correo electrónico de suscriptores a un boletín comercial. A partir de ahora, cuando se recabe el consentimiento para ser objeto de este tratamiento, será necesario que el consentimiento, además de ser inequívoco, sea explícito.

Esto obligará a realizar cambios importantes en los formularios de suscripción que circulan por ahí, pero no serán los únicos. Las ampliaciones del derecho a la información de los usuarios también cambiarán la forma de ejercer nuestro deber de informarles.

Por último, en lo que al consentimiento de menores se refiere, tiene lugar una situación curiosa. El Reglamento menciona el umbral de menores de edad solamente para servicios de la sociedad de la información (por ejemplo, las redes sociales) y lo sitúa en los 16 años. Para el resto de servicios, no hay mención alguna a una cifra.

Hasta entonces, en la LOPD se hacía mención a los 14 años como el límite a partir del cual el consentimiento de un menor era legítimo en materia de datos personales.

Dado que el RGPD prevé la posibilidad de que los Estados miembros de la Unión Europea desarrollen sus propias normativas internas que amplíen el Reglamento, es posible que esta situación se ajuste al antiguo criterio de los 14 años, pero no es seguro.

Habrá que esperar a una nueva ley, al menos una temporada.

Los nuevos derechos

Si estás familiarizado con la protección de datos, seguro que en algún momento has oído hablar de los derechos ARCO: acceso, rectificación, cancelación y oposición. Estos cuatro derechos, más el derecho de información, eran el núcleo central de la antigua normativa.

Bien, pues dejando a un lado que el derecho de información se amplía sustancialmente y establece un sistema por capas, que el derecho de acceso incluye el llevarte una copia de tus datos, y que el de cancelación de los datos personales pasa ahora a llamarse derecho de supresión, se reconocen explícitamente los siguientes derechos:

  • El derecho al olvido. Se reconoce como una consecuencia lógica del derecho de supresión de los datos, y se menciona de forma concreta tomando como referencia el peligro de la privacidad en internet. A partir de ahora, tienes derecho al olvido de tu información personal.
  • El derecho a la limitación del tratamiento de datos personales. Este derecho surge como una nueva garantía de que, mientras tú como interesado esperas a que una empresa responda a una solicitud de ejercicio de otro derecho, la misma empresa esté obligada a cesar en el tratamiento de tus datos personales. Esta empresa te informará de cuándo ha dejado de realizar el tratamiento, y te informará también cuando lo reanude, si es que ocurre.
  • El derecho a la portabilidad de los datos. A partir del 25 de mayo, tendrás derecho a exigir a una empresa que reúna toda la información que tiene sobre ti (o parte de ella) y se la traslade en un formato adecuado a otra empresa.
  • El derecho a no ser sujeto de decisiones individuales automatizadas (incluyendo la elaboración de perfiles). Como hemos visto esto será, sin duda, otro gran quebradero de cabeza para cualquier persona que se dedique al marketing digital. Es este derecho el que exige, como hemos visto más arriba, un consentimiento inequívoco que, además, sea explícito.
Derechos RGPD

Derechos en el RGPD

Procedimientos obligatorios en el RGPD

Hemos visto ya que el RGPD elimina algunas obligaciones de la LOPD, pero también establece otras nuevas. Después de haber visto las particularidades en materia de consentimiento y reconocimiento de derechos, podemos considerar otros requisitos obligatorios del RGPD:

  • La elaboración de contratos adaptados al RGPD entre las empresas responsables de la información personal y terceros que realicen un servicio que implique un tratamiento de sus datos. Las responsabilidades entre las figuras han cambiado, y es imperativo adaptar los contratos.
  • El análisis de riesgos, para el cual la Agencia ha elaborado una herramienta orientativa denominada FACILITA, y que servirá para aclarar las ideas a muchas de las PYMES que hay ahí fuera, siempre y cuando no realicen tratamiento de datos que implique un alto riesgo.
  • El registro del tratamiento (deberá estar a disposición de la Agencia Española de Protección de Datos).
  • La realización de una evaluación de impacto previa al tratamiento, siempre y cuando se de un tratamiento de datos con alto riesgo.
  • El establecimiento de protocolos de actuación y/o recomendaciones para los usuarios y los responsables de los datos si ocurriera una violación de seguridad.

Cualquier documentación relacionada con el RGPD debe estar perfectamente adaptada a las condiciones particulares de la empresa, teniendo en cuenta el tratamiento que esta realiza de la información personal, y deberá estar disponible para que la empresa pueda demostrar que el cumplimiento tiene lugar.

Obligaciones del RGPD

Obligaciones del RGPD

Transferencias internacionales de datos personales

Quizá alguien recuerde que en la LOPD se prestaba atención a una situación cada vez más habitual: las transferencias internacionales de datos entre la entidad responsable y un tercero situado en el extranjero Con la entrada en vigor del RGPD, la definición de internacional se reduce ahora a terceros situados fuera del espacio económico europeo.

Por lo demás la consideración de las transferencias internacionales de datos en el RGPD no difiere tanto de las de la normativa anterior, aunque sí se recomienda la posibilidad de que las entidades se certifiquen o se adhieran a códigos de conducta en esta materia, y para la protección de datos en general.

El Delegado de Protección de Datos (DPD)

Por último, antes de valorar qué puede ocurrir si decidimos que esto del RGPD no va con nosotros, es necesario comentar un personaje que también está causando algo de histeria en ciertos foros: el delegado de protección de datos, o DPD.

El delegado de protección de datos es una figura que debe estar presente en ciertas entidades, pero no todas. Deberá estar certificado como tal, y se valorará especialmente su dominio del área jurídica, y de la protección de datos en particular.

Concretamente, deberá existir un delegado de protección de datos en aquellas entidades:

  • Públicas.
  • Que tengan entre sus actividades principales el tratamiento de datos que requiera una observación habitual y sistemática de interesados a gran escala.
  • Que traten entre sus actividades principales datos sensibles a gran escala.

Así que, si eres autónomo o tienes un PYME que no encaje en estas dos últimas categorías, puedes estar tranquilo: no necesitas un DPD permanentemente en tu empresa.

¿Y si no respeto el RGPD?

El RGPD afecta a todas las personas físicas o jurídicas que gestionen información personal de un ciudadano de la Unión Europea, estén ellas mismas situadas en el territorio de la Unión, o no.

Es decir: autónomos, empresas privadas, empresas públicas y cualquier otro tipo de entidad jurídica deberán ajustarse a lo que dice el Reglamento. Asociaciones, ONGs y clubes, también deberán adaptarse. A nivel estatal, deberán seguir el RGPD todos aquellos que estaban obligados por la LOPD.

Todos tenemos hasta el 25 de mayo para conseguir la adaptación, a riesgo de enfrentarnos a las sanciones expuestas por el Reglamento, mucho más exigentes que las de la antigua LOPD: pueden llegar a los 20 millones de euros o al 4% de la facturación global anual total para faltas muy graves, y a 10 millones o un 2% para faltas graves.

Sanciones RGPD

Sanciones en el RGPD

 

Quizá hayas llegado hasta este artículo creyendo que la LOPD y el RGPD no serían tan distintos, y que venías haciendo todo esto correctamente. Si has conseguido llegar al final del artículo, te felicito y te lo agradezco profundamente: uno escribe siempre para ser leído.

Pero sobre todo he de recomendarte que, si tienes interés en estas cuestiones, sigas con atención este blog, porque a lo largo de las próximas semanas iré escribiendo con más detalle sobre el RGPD e iré resolviendo las dudas que vayan surgiendo.

Además uno de los próximos artículos será una lista con herramientas especialmente destinada a autónomos y PYMES en materia de protección de datos del RGPD, donde encontrarás otros blogs y recursos accesibles para cualquiera.

Te espero por aquí la próxima semana. Pero, mientras, si tienes algo que contarme… ¡ahora te toca a ti!

4 Comentarios

  • Juan Posted 14 abril, 2018 8:40 pm

    Muy buen artículo. Muchas gracias.

    • Noemí Carro Posted 15 abril, 2018 8:39 am

      Muchas gracias, Juan, ¡un placer que te haya gustado!

  • Julio Llamas Diez. Posted 19 abril, 2018 12:38 pm

    ¡Enhorabuena Noemí!. Excelente introducción a la nueva RGPD.
    No dejes de seguir publicando en el blog en relación a esto, porque seguro que te seguiremos leyendo.

    • Noemí Carro Posted 19 abril, 2018 7:15 pm

      Muchas gracias, Julio. ¡El domingo habrá otra entrega!
      Un abrazo.

Añadir comentario

Your email address will not be published. Required fields are marked *

A %d blogueros les gusta esto: