Nueva ley de protección de datos de 25 Mayo de 2018, la RGPD

Seguro que, durante los últimos días, has sufrido en tu correo electrónico el bombardeo de mensajes procedentes de todas las páginas web y entidades a las que estás suscrito solicitándote que firmes los nuevos términos y condiciones de su política de protección de datos.

Esto se ha debido, fundamentalmente, a la entrada en vigor, el 25 de mayo de 2018, del Reglamento General de Protección de Datos de la Unión Europea (RGDP, a partir de ahora), el cual viene a modificar sustancialmente la Ley Orgánica de Protección de Datos vigente hasta ahora.

Sin embargo, ¿cuáles son los cambios introducidos por este nuevo reglamento? Como abogados especialistas en protección de datos vamos a desgranártelos.

¿Quiénes están obligados a cumplir con lo establecido en el RGPD?

Esta es una de las cuestiones más importantes del RGDP. Y es que, anteriormente, cada país tenía potestad para elaborar sus propias leyes en materia de protección de datos y aplicarlas a sus empresas. Sin embargo, a partir de ahora, todas las compañías que estén registradas en un país miembro de la Unión Europea deberán cumplir esta normativa común.

Pero, además, su aplicación no se reduce a ese ámbito. De hecho, cualquier empresa procedente de un país externo que quiera desarrollar su actividad de negocio dentro de uno o varios países miembros de la Unión Europea deberá adaptarla también al RGPD.

¿Qué nuevas obligaciones tienen las empresas con el RGPD?

Obligación de rendir cuentas

A partir de ahora, las empresas tienen que aportar toda la información relacionada con el tratamiento que van a hacer de los datos de sus usuarios y solicitar el consentimiento expreso para su uso. También deben especificar los derechos que les acogen.

La principal novedad, en este apartado, es la incorporación del término de privacidad desde el diseño. Esto quiere decir que todos los procesos de la compañía deben construirse en base a la política de protección de datos desde el primer momento.

Por otro lado, la nueva normativa exige a las empresas que avisen a sus usuarios en un máximo de 72 horas de cualquier violación de seguridad que hayan podido sufrir sus ficheros de información. Esto debe ser alertado, además, a la autoridad de control que corresponda. En nuestro caso, sería a la Agencia Española de Protección de Datos. En el supuesto de que la información afectada fuese de carácter especialmente sensible, la notificación debe realizarse de forma personalizada a cada afectado.

Tampoco hay que olvidar que, según la nueva normativa, las compañías tienen la obligación de llevar a cabo un registro interno de los procesos de tratamiento de los datos personales que hacen en sus procesos siempre y cuando tenga más de 250 trabajadores u opere con información especialmente sensible.

La responsabilidad proactiva

Este es uno de los conceptos más innovadores del RGPD. En concreto, hace referencia a las tareas de prevención que, obligatoriamente, las empresas han de realizar para proteger los datos de sus usuarios.

En este sentido, las entidades y empresas deben garantizar, de forma suficiente, que tienen capacidad para cumplir con los derechos, reglas y obligaciones establecidos por el RGPD. Esto se debe, fundamentalmente, a que la nueva normativa estima que la actuación cuando ya se ha cometido la infracción o se ha sufrido el ataque no es suficiente ya que cualquier de estas acciones puede conllevar un daño difícilmente compensable o reparable.

La primera medida exigida a este respecto es la realización de un análisis de riesgo que determine cuáles son las medidas que se deben aplicar y cómo han de llevarse a la práctica.

Esto se ve reflejado en la ejecución de evaluaciones de impacto, que son análisis de riesgo sobre un determinado producto, servicio o sistema de información sujeto al derecho de protección de datos.

La figura del delegado de protección de datos

Esta es una figura que debe estar presente, obligatoriamente, dentro del organigrama de las organizaciones que deban acogerse al RGPD. En concreto, su función será la de planificar las medidas de seguridad que deban aplicarse sobre el tratamiento de los datos que realice la compañía. También será el enlace entre la autoridad de control y la empresa.

Evidentemente, en caso de que se produzca cualquier vulneración del derecho de protección de datos de los usuarios, este será el primer responsable.

Nuevos derechos de los ciudadanos recogidos por el RGPD

El derecho al olvido

Una de las grandes reivindicaciones de los colectivos de usuarios se ha visto reflejado por fin en el nuevo RGPD. Se trata del derecho de solicitar y lograr que los datos personales aportados en un momento determinado sean eliminados por la organización en el momento en el que ya no sean útiles para alcanzar el fin para el que fueron aportados, cuando estos fuesen obtenidos de manera ilegal o cuando el consumidor revocase su consentimiento de uso.

El derecho a la portabilidad

Aunque menos importante que el derecho al olvido, este también ha sido un gran logro para los colectivos de usuarios. En concreto, hace referencia al derecho que les asiste para exigir que aquellas empresas que traten sus datos de manera digitalizada se los devuelvan en un formato que les brinde la posibilidad de trasladarlos a otras.

Modificaciones respecto al consentimiento

El RGPD exige, a partir de este momento, que el consentimiento dado por los usuarios para el tratamiento de sus datos sea informado, específico, inequívoco y, sobre todo, libre. Por ello, las empresas están obligadas a realizar una revisión de las formas mediante las cuales almacenan y obtienen dichos consentimientos por parte de sus clientes.

Esto viene a poner fin a todas las prácticas ejecutadas hasta ahora que se fundamentaban en el concepto de consentimiento tácito. Por este motivo, se exige que el usuario haga una declaración explícita en la que muestre su voluntad de que la empresa trate sus datos o, en su defecto, una acción positiva que apunte en esa dirección. Dicho de otro modo, dicho consentimiento no puede deducirse ya de la inacción o del silencio del ciudadano en cuestión.

Ajuste de la LOPD al RGPD

La Agencia Estatal de Protección de Datos, que celebró el pasado 25 de mayo de 2017 su novena Sesión Anual Abierta, hizo hincapié en la necesidad que los profesionales, las empresas y las entidades de cualquier clase tenían respecto a su adaptación al RGPD. De hecho, este texto fue aprobado hace dos años, pero se concedieron 24 meses de gracia para proceder a la adecuación. A muchas, como habrás podido darte cuenta, se les ha echado el tiempo encima.

El organismo estatal al que hemos hecho referencia puso, en ese momento, la herramienta Facilita RGPD a disposición de los organismos afectados por su entrada en vigor y un sistema de intermediación voluntaria para reclamar derechos de los usuarios que se pudiese considerar que estaban siendo violados.

Por su parte, también hay que añadir que estos cambios se plasmarán en una nueva Ley Orgánica de Protección de Datos, la cual se encuentra, en estos momentos, en una etapa de tramitación en el Parlamento.

Esperamos que, ahora sí, hayas entendido el grueso del contenido del nuevo RGPD. Sin duda, un texto legal que viene a proteger de manera más eficaz los derechos de los ciudadanos de la Unión Europea.

Añadir nuevo comentario

¿Necesita un Abogado en Madrid?, Nosotros le llamamos

Rellene el formulario y le llamaremos a la mayor brevedad posible.

* Campos obligatorios