Lo más destacado del Reglamento Europeo de Protección de Datos

Después de meses leyendo todo lo que caía en mis manos sobre el nuevo Reglamento General de Protección de Datos (RGPD), tuve la oportunidad de ser invitado a una jornada informativa sobre el tema. Pero en esta ocasión, la fuente estaba expresamente acreditada para aclarar todo lo referente a este nuevo Reglamento: Era la propia Agencia Española de Protección de Datos (AEPD).

El RGPD entró en vigor en Mayo 2016 y el 25 de Mayo de 2018 era el plazo límite para adoptar las medidas necesarias en todas las organizaciones empresariales, instituciones y organismos públicos de la UE.

Hasta ahora, prácticamente la totalidad de las publicaciones al respecto, estaban fundamentadas en las sanciones y los célebres 20 millones de euros que nos podían imponer desde la AEPD por incumplimiento e irregularidades en lo referente a la protección de datos personales. Estrategia llevada a cabo por aquellos, y no son pocos, que aplicando la teoría del miedo, quieren hacer negocio a toda costa. Me recordaba a aquellas teorías infundadas del Efecto 2000 que vivimos en los años 1998 y 1999.

Primeramente, el RGPD no deroga la actual LOPD. En este momento el Gobierno está trabajando para aprobar la nueva LOPD basada en el nuevo RGPD. Esta ley orgánica, cuando se pruebe, será la que regule el citado Reglamento. Recientemente, Mar España ha subrayado que, como directora de la Agencia Española de Protección de Datos, "el mayor reto es conseguir el impulso y el apoyo en el Parlamento, a través de todos los grupos parlamentarios, para aprobar la Ley Orgánica de Protección de Datos y de Derechos Digitales lo antes posible".

Al RGPD le interesa el tratamiento de los datos, no los ficheros. Desaparece el concepto de Nivel Bajo, Medio y Alto que se aplicaba en el registro de ficheros de la LOPD. Hay que subrayar que la finalidad principal del RGPD es proteger el derecho fundamental a la protección de datos de carácter personal, así como el derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad de los datos.

Sin embargo, uno de los cambios más significativos reside en el procedimiento sancionador. Bajo la LOPD 15/1999, los incumplimientos estaban relacionados directamente con una sanción económica. El RGPD establece un procedimiento sancionador mucho más coherente, relacionado con la responsabilidad proactiva que viene a ser las medidas de responsabilidad sobre procesos que garanticen el tratamiento dentro de los procedimientos de protección de datos personales, valorando el impacto sobre la privacidad no necesario en el tratamiento de datos normales.

La responsabilidad proactiva exige, por tanto, un análisis de riesgos preliminar. Análisis que, entre otras cosas, cualquier organización empresarial debe llevar a cabo para proteger su patrimonio: La Información corporativa. La AEPD publica en su web una Guía de Análisis de Riesgos recomendable.

En el nuevo procedimiento sancionador, aparece por primera vez el "Apercibimiento" como elemento de aviso sin consecuencias económicas ante cualquier incumplimiento derivado de la protección de datos personales. Cosa que la LOPD no contemplaba en ningún caso, dando lugar a situaciones verdaderamente incongruentes en las que pequeños empresarios debían afrontar multas escandalosas.

Otro de los conceptos tratados con cierta ligereza ha sido la figura del Delegado de Protección de Datos y su necesaria certificación como tal por el regulador. Cualquier profesional debidamente experimentado y formado que disponga de certificaciones y habilitaciones profesionales o bien esté sujeto a códigos de conducta de colectivos profesionales (Colegios, Asociaciones, etc) puede ejercer como tal. Muy importante destacar que su responsabilidad únicamente está sujeta a la relación contractual que mantenga con la empresa para la que desarrolla la actividad como Delegado. La AEPD en ningún caso podrá sancionar al Delegado de Protección de Datos.

Otra novedad importante, desaparecen los consentimientos tácitos. Ahora tienen que ser expresos, SI o NO. Los consentimientos no se renuevan automáticamente en el nuevo Reglamento, por tanto, es necesaria su renovación expresa como indica el RGPD. Sin embargo, aparece la figura del tratamiento ocasional.

Así mismo, las empresas deben asegurar la confidencialidad de sus empleados y colaboradores de manera contractual para evitar responsabilidades sobre posibles incumplimientos.

En términos de seguridad tanto informática como tradicional en papel, el que esté libre de pecado que tire la primera piedra. Pues bien, el RGPD exige que las organizaciones empresariales comuniquen a sus clientes aquellas brechas de seguridad que pudieran haber comprometido la seguridad de los datos personales de los mismos.

Por último, hablemos del Registro de Actividades del Tratamiento que, si bien es cierto que no es necesario publicarlo, si que es imprescindible disponer de este registro. Para tal efecto, la AEPD dispone en su web de una herramienta gratuita: FACILITA.

FACILITA es un check list en el que tras introducir los datos necesarios en una batería de preguntas sobre la empresa, emite un documento de carácter vinculante, en el que se determinan las actividades del tratamiento de datos personales a tener en cuenta y que nos guiará en la implantación del RGPD en nuestra organización empresarial.

Esta herramienta está destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos como por ejemplo: tratamientos de datos de contacto y facturación de los clientes o proveedores de una pequeña empresa, o el tratamiento de los datos de sus empleados con la finalidad del mantenimiento de una relación laboral. Es un programa de ayuda general y como tal no es perfecto para todos los casos porque puede haber peculiaridades de cada empresa que no pueden tenerse en cuenta.

La transformación digital ha llevado a una exposición excesiva de los datos personales, por lo que la Unión Europea ha optado por ampliar la protección de los derechos individuales. Aunque no lo parezca, este post es un breve resumen de los aspectos más destacados del RGPD aplicado a las Pymes y va siendo hora de ponernos manos a la obra. Hemos tenido 2 años por delante para hacerlo y personalmente, creo que es muchísimo más racional que la antigua LOPD y relativamente sencilla su adaptación. Las empresas deberán invertir en herramientas y dedicar recursos para cumplir con la normativa. No obstante, la Agencia Española de Protección de Datos (AEPD) posee toda la información y herramientas de ayuda.

Por si alguien tiene dudas a la hora de contratar una empresa especialista en la adaptación, le muestro un DECALOGO para la contratación de estos servicios.

Y para aquellos que tienen aún dudas sobre COMO ADAPTAR LA WEB al nuevo reglamento, este monográfico de cómo adaptar su web al RGPD.

AEPD: https://www.aepd.es/index.html

DECALOGO: https://tecnologia.elderecho.com/tecnologia/internet_y_tecnologia/Decalogo-Reglamento-General-Proteccion-Datos_0_1229250101.html

APAPTACION A RGPD: https://www.genbeta.com/a-fondo/tengo-una-web-y-no-se-si-cumplo-con-la-gdpr-como-puedo-hacerlo-y-que-pasa-si-no-lo-hago

Publicado por:

Ángel De La Riva
Ángel De La Riva