Ya es una realidad. El pasado 25 de mayo de 2018 entró el vigor el Nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD), que afecta tanto a las empresas, como a los autónomos y organismos públicos y privados que traten datos de carácter personal. Entre los grandes cambios, se deberán contar con el consentimiento explícito de los usuarios para el uso de sus datos; aclarar qué información tienen, dónde, por cuanto tiempo, quién la usa y para qué; cumplir con el derecho al olvido; y nombrar a un delegado de datos que velará por el cumplimiento de la normativa. El incumplimiento de la nueva normativa podría llegar a acarrear sanciones de hasta 20 millones de euros o del 4% del volumen total global del negocio de la compañía, con el evidente y grave perjuicio reputacional que también supondría para la organización.
El
pasado 25 de mayo de 2018 entró en vigor el
nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos, una norma que es de
aplicación obligatoria y que impone a las empresas numerosos deberes en
relación a la privacidad.
pasado 25 de mayo de 2018 entró en vigor el
nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos, una norma que es de
aplicación obligatoria y que impone a las empresas numerosos deberes en
relación a la privacidad.
Queda,
además, pendiente la aprobación de la nueva Ley Orgánica de Protección de
Datos, que se encuentra actualmente en tramitación parlamentaria. De todas
formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el
Reglamento europeo será plenamente exigible de todas formas.
además, pendiente la aprobación de la nueva Ley Orgánica de Protección de
Datos, que se encuentra actualmente en tramitación parlamentaria. De todas
formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el
Reglamento europeo será plenamente exigible de todas formas.
Atención. El RGPD es un tipo de
norma que tiene aplicación directa en todos los estados de la UE y, por tanto,
no precisa de ningún tipo de mecanismo de transposición específico. Dicho de
otra forma, no hace falta que exista ninguna ley española para que el
Reglamento europeo resulte obligatorio, es exigible como si fuera una ley
nacional.
norma que tiene aplicación directa en todos los estados de la UE y, por tanto,
no precisa de ningún tipo de mecanismo de transposición específico. Dicho de
otra forma, no hace falta que exista ninguna ley española para que el
Reglamento europeo resulte obligatorio, es exigible como si fuera una ley
nacional.
Las
compañías que operen en Europa deberán acatar el RGPD, independientemente de
que estén registradas en países que no pertenecen a la Unión Europea.
compañías que operen en Europa deberán acatar el RGPD, independientemente de
que estén registradas en países que no pertenecen a la Unión Europea.
Es
importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya
que hay numerosas decisiones jurídicas relevantes a tener en cuenta.
importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya
que hay numerosas decisiones jurídicas relevantes a tener en cuenta.
El
primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los
tratamientos de datos personales que se llevan a cabo, a través de un
inventario de todas las actividades de tratamiento que realiza la compañía. De
esta manera será más sencillo clasificar los datos de acuerdo con: su
naturaleza, finalidad, categoría, origen, si son susceptibles de ser
compartidos, etc.
primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los
tratamientos de datos personales que se llevan a cabo, a través de un
inventario de todas las actividades de tratamiento que realiza la compañía. De
esta manera será más sencillo clasificar los datos de acuerdo con: su
naturaleza, finalidad, categoría, origen, si son susceptibles de ser
compartidos, etc.
¿Qué entendemos por datos
personales?
personales?
Se
definen los datos personales de las personas como toda aquella información que
se puede vincular directa o indirectamente a una persona. Es decir, pueden ir
desde el nombre completo o domicilio de un individuo hasta información acerca
de su condición social, estado civil o inclusive dirección IP.
definen los datos personales de las personas como toda aquella información que
se puede vincular directa o indirectamente a una persona. Es decir, pueden ir
desde el nombre completo o domicilio de un individuo hasta información acerca
de su condición social, estado civil o inclusive dirección IP.
Son
muchas las obligaciones que tanto las empresas, autónomos y organismos públicos
y privados que traten datos de carácter personal deben conocer y el tiempo es
escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias
para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo
es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de
euros o el 4% de la facturación anual global del infractor. La autoridad de
control puede actuar de oficio o por denuncia de los interesados.
muchas las obligaciones que tanto las empresas, autónomos y organismos públicos
y privados que traten datos de carácter personal deben conocer y el tiempo es
escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias
para llegar a ese plazo en situación de cumplimiento. El riesgo de no hacerlo
es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de
euros o el 4% de la facturación anual global del infractor. La autoridad de
control puede actuar de oficio o por denuncia de los interesados.
Algunas
de los puntos básicos de este Reglamento son:
de los puntos básicos de este Reglamento son:
- Los datos personales
son siempre del titular, no de quien los trata. - Los datos deben
utilizarse sólo para la finalidad para la que fueron recabados. - Los interesados
pueden ejercer el derecho a la portabilidad de sus datos, estando obligado el
responsable del tratamiento a facilitar una copia completa de los datos en
soporte electrónico.
Las personas viviendo
dentro de la UE tendrán derecho a:
dentro de la UE tendrán derecho a:
- Recibir información
clara y comprensible sobre quien procesa sus datos y por qué. - Acceder a los datos
que las organizaciones tienen sobre ellos. - Pedir que se eliminen
los datos personales si no existe un motivo legítimo para guardarlos. - Poder corregir los
datos si son incorrectos. - Mover los datos de un
proveedor de servicios, como el correo electrónico o red social, a otro.
LAS CLAVES DEL NUEVO RGPD
1. Consentimiento expreso,
no tácito
no tácito
La
nueva normativa establece que las empresas deben contar con el permiso expreso
del usuario para disponer y utilizar sus datos. Hasta ahora valía con el
permiso tácito, es decir, la presunción de que el usuario aceptaba lo que no
rechazaba.
nueva normativa establece que las empresas deben contar con el permiso expreso
del usuario para disponer y utilizar sus datos. Hasta ahora valía con el
permiso tácito, es decir, la presunción de que el usuario aceptaba lo que no
rechazaba.
Para
proceder a la recogida y al tratamiento de datos personales las organizaciones
han de haber obtenido previamente un acuerdo escrito, claro o explícito de los
titulares de los datos.
proceder a la recogida y al tratamiento de datos personales las organizaciones
han de haber obtenido previamente un acuerdo escrito, claro o explícito de los
titulares de los datos.
Por
tanto, las empresas necesitarán obtener el consentimiento voluntario,
específico, inequívoco e informado de las personas para procesar sus datos.
También necesitarán que los usuarios opten por aceptar el procesamiento de sus
datos, no será válido darles solo una opción de “opt-out” o exclusión. En otras
palabras, las empresas ya no podrán pedir a los consumidores que marquen una
casilla después de un extenso conjunto de términos y condiciones que la mayoría
de los usuarios nunca lee.
tanto, las empresas necesitarán obtener el consentimiento voluntario,
específico, inequívoco e informado de las personas para procesar sus datos.
También necesitarán que los usuarios opten por aceptar el procesamiento de sus
datos, no será válido darles solo una opción de “opt-out” o exclusión. En otras
palabras, las empresas ya no podrán pedir a los consumidores que marquen una
casilla después de un extenso conjunto de términos y condiciones que la mayoría
de los usuarios nunca lee.
2. La legalidad del
procesamiento de datos
procesamiento de datos
Las
empresas que procesen datos personales deben asegurarse de que es legal, justo
y transparente. No pueden usar datos para fines distintos de aquellos para los
que se recopilaron, con excepciones limitadas.
empresas que procesen datos personales deben asegurarse de que es legal, justo
y transparente. No pueden usar datos para fines distintos de aquellos para los
que se recopilaron, con excepciones limitadas.
El
procesamiento de datos es legal si:
procesamiento de datos es legal si:
·
Un individuo ha dado
su consentimiento.
Un individuo ha dado
su consentimiento.
·
Es necesario para la
ejecución de un contrato.
Es necesario para la
ejecución de un contrato.
·
Es necesario cumplir
una obligación legal en virtud de la legislación nacional o de la UE.
Es necesario cumplir
una obligación legal en virtud de la legislación nacional o de la UE.
·
Es necesario para
proteger los intereses vitales de un individuo.
Es necesario para
proteger los intereses vitales de un individuo.
·
Es necesario llevar a
cabo una tarea de interés público en virtud de la legislación nacional o de la
UE.
Es necesario llevar a
cabo una tarea de interés público en virtud de la legislación nacional o de la
UE.
·
Es en interés
legítimo de la compañía, siempre que no se imponga sobre los derechos y
libertades fundamentales de un individuo.
Es en interés
legítimo de la compañía, siempre que no se imponga sobre los derechos y
libertades fundamentales de un individuo.
Si
una empresa recopiló datos sobre la base del consentimiento, no puede usarlos
para otros fines.
una empresa recopiló datos sobre la base del consentimiento, no puede usarlos
para otros fines.
3. Tiempo y uso concreto
Las
compañías no solo están obligadas al consentimiento expreso, sino que deben
especificar el uso y el tiempo concreto que tienen pensado disponer de estos
datos. El RGPD establece que se deben
guardar no más del «tiempo necesario».
compañías no solo están obligadas al consentimiento expreso, sino que deben
especificar el uso y el tiempo concreto que tienen pensado disponer de estos
datos. El RGPD establece que se deben
guardar no más del «tiempo necesario».
4. Portabilidad de datos
El
RGPD prevé un mecanismo de portabilidad que ofrece la posibilidad de pasar de
un servicio a otro. Un usuario puede solicitar a cualquier empresa que le
otorgue acceso a todos los datos personales recolectados con anterioridad, para
de esta forma transferirlos a otra compañía, sí así lo desea.
RGPD prevé un mecanismo de portabilidad que ofrece la posibilidad de pasar de
un servicio a otro. Un usuario puede solicitar a cualquier empresa que le
otorgue acceso a todos los datos personales recolectados con anterioridad, para
de esta forma transferirlos a otra compañía, sí así lo desea.
5. Robo de datos
Además
de informar claramente a los ciudadanos para qué y cómo procesan sus datos
personales, deberán informar acerca de posibles brechas de seguridad en un
plazo máximo de 72 horas. Si, por ejemplo, un banco sufre un ciberataque, sus
clientes deberán conocerlo antes de tres días.
de informar claramente a los ciudadanos para qué y cómo procesan sus datos
personales, deberán informar acerca de posibles brechas de seguridad en un
plazo máximo de 72 horas. Si, por ejemplo, un banco sufre un ciberataque, sus
clientes deberán conocerlo antes de tres días.
6. Descarga de toda la
información a un «clic»
información a un «clic»
Los
usuarios tienen derecho a saber toda la información que las compañías poseen
sobre ellos y a tener una copia electrónica.
usuarios tienen derecho a saber toda la información que las compañías poseen
sobre ellos y a tener una copia electrónica.
7. El derecho al olvido
Aunque
ya estaba en vigor, a partir de ahora se refuerza el llamado «derecho al
olvido» y podrán solicitar a servicios de internet y empresas que tratan datos
personales que borren todos sus datos o que se establezca el límite de tiempo
que el usuario da permiso de uso de su información.
ya estaba en vigor, a partir de ahora se refuerza el llamado «derecho al
olvido» y podrán solicitar a servicios de internet y empresas que tratan datos
personales que borren todos sus datos o que se establezca el límite de tiempo
que el usuario da permiso de uso de su información.
8. Mayor protección de los
menores
menores
La
edad mínima aumenta de los 14 a los 16 años para acceder a los diferentes
servicios digitales.
edad mínima aumenta de los 14 a los 16 años para acceder a los diferentes
servicios digitales.
9. La letra pequeña,
reflejada de forma clara
reflejada de forma clara
El
nuevo reglamento establece que los términos de uso y las políticas de
privacidad de datos deben redactarse y publicarse de una manera más sencilla y
clara, es decir, comprensible para todos.
nuevo reglamento establece que los términos de uso y las políticas de
privacidad de datos deben redactarse y publicarse de una manera más sencilla y
clara, es decir, comprensible para todos.
10. El Registro de Ficheros
en la AEPD.
en la AEPD.
Al
contrario que hasta ahora, la nueva normativa no obliga a registrar Ficheros en
la Agencia Española de Protección de Datos (AEPD). Todo el cumplimiento de la
normativa será responsabilidad de los obligados (Instituciones, Empresas y
Organizaciones), que internamente establecerán los medios para la aplicación de
la normativa.
contrario que hasta ahora, la nueva normativa no obliga a registrar Ficheros en
la Agencia Española de Protección de Datos (AEPD). Todo el cumplimiento de la
normativa será responsabilidad de los obligados (Instituciones, Empresas y
Organizaciones), que internamente establecerán los medios para la aplicación de
la normativa.
¿Qué
pasará con los ficheros registrados? Será una obligación cumplida bajo una
normativa anterior, ya no habrá ningún procedimiento de presentación o de
consulta de los ficheros comunicados.
pasará con los ficheros registrados? Será una obligación cumplida bajo una
normativa anterior, ya no habrá ningún procedimiento de presentación o de
consulta de los ficheros comunicados.
11. Nuevas reglas para
procesadores de datos
procesadores de datos
El
RGPD distingue entre “controladores” de datos y “procesadores” de datos. Un
controlador de datos determina por qué se deben recopilar y procesar los datos
personales y cómo. Un procesador de datos solo procesa datos personales en
nombre del controlador y generalmente es una empresa externa.
RGPD distingue entre “controladores” de datos y “procesadores” de datos. Un
controlador de datos determina por qué se deben recopilar y procesar los datos
personales y cómo. Un procesador de datos solo procesa datos personales en
nombre del controlador y generalmente es una empresa externa.
Por
ejemplo, un minorista que contrata a una empresa de recursos humanos para
manejar la nómina y otras funciones es el controlador de datos, mientras que la
empresa de recursos humanos es el procesador de datos.
ejemplo, un minorista que contrata a una empresa de recursos humanos para
manejar la nómina y otras funciones es el controlador de datos, mientras que la
empresa de recursos humanos es el procesador de datos.
Bajo
el RGPD, los procesadores de datos deben garantizar los mismos estándares que
los controladores y garantizar que cumplan con los requisitos de la ley. Debe haber
un contrato legal entre un procesador y un controlador, y un procesador no
puede contratar a otra compañía para procesar datos sin el consentimiento del
controlador.
el RGPD, los procesadores de datos deben garantizar los mismos estándares que
los controladores y garantizar que cumplan con los requisitos de la ley. Debe haber
un contrato legal entre un procesador y un controlador, y un procesador no
puede contratar a otra compañía para procesar datos sin el consentimiento del
controlador.
12. Delegado de Protección
de Datos
de Datos
Una
de las exigencias que introduce el RGPD es la designación obligatoria de un
Delegado de Protección de Datos o Data Protection Officer (DPO, por sus siglas
en inglés). Ahora nace una figura especializada en derecho de protección de
datos que se crea junto a las ya existentes de responsable y encargado del
tratamiento de los datos. Sus funciones se orientan a garantizar el
cumplimiento del reglamento y asesorar al responsable del tratamiento de datos.
de las exigencias que introduce el RGPD es la designación obligatoria de un
Delegado de Protección de Datos o Data Protection Officer (DPO, por sus siglas
en inglés). Ahora nace una figura especializada en derecho de protección de
datos que se crea junto a las ya existentes de responsable y encargado del
tratamiento de los datos. Sus funciones se orientan a garantizar el
cumplimiento del reglamento y asesorar al responsable del tratamiento de datos.
Sus
funciones es velar o supervisar que se realiza el cumplimiento de la normativa
de LOPD adecuadamente, en el caso de autoridades y organismos públicos,
entidades que realicen una observación habitual y sistemática de las personas a
gran escala, y entidades que tengan entre sus actividades principales el tratamiento,
también a gran escala, de datos sensibles.
funciones es velar o supervisar que se realiza el cumplimiento de la normativa
de LOPD adecuadamente, en el caso de autoridades y organismos públicos,
entidades que realicen una observación habitual y sistemática de las personas a
gran escala, y entidades que tengan entre sus actividades principales el tratamiento,
también a gran escala, de datos sensibles.
13. Nuevas sanciones por
incumplimiento.
incumplimiento.
La
cuantía de las multas sube de forma sustanciosa para evitar lo que se conoce
como las “infracciones rentables”. Por ello, el RPGD habla de que es posible cifrar
las administrativas con cantidades entre 10 y 20 millones de euros. Si hace
referencia a una empresa, la multa podría ascender al 2 o 4% del volumen de
negocio total, en base al anual global del ejercicio financiero anterior.
cuantía de las multas sube de forma sustanciosa para evitar lo que se conoce
como las “infracciones rentables”. Por ello, el RPGD habla de que es posible cifrar
las administrativas con cantidades entre 10 y 20 millones de euros. Si hace
referencia a una empresa, la multa podría ascender al 2 o 4% del volumen de
negocio total, en base al anual global del ejercicio financiero anterior.
PAUTAS A SEGUIR:
1.
Actualice sus documentos legales y realiza auditorías internas
Actualice sus documentos legales y realiza auditorías internas
En
este primer punto, se tendrá que tener en cuenta qué se necesita para ajustarse
al nuevo Reglamento en cada caso
particular.
este primer punto, se tendrá que tener en cuenta qué se necesita para ajustarse
al nuevo Reglamento en cada caso
particular.
2.
Solicite el certificado o permiso para poder procesar datos
Solicite el certificado o permiso para poder procesar datos
Si
el consentimiento actual que tiene no cumple con la nueva normativa, tendrá que solicitarlo de nuevo.
el consentimiento actual que tiene no cumple con la nueva normativa, tendrá que solicitarlo de nuevo.
3.
Organice una auditoría de información
Organice una auditoría de información
Le
permitirá explicar a sus clientes porque almacena sus datos y cómo trabaja con
ellos, así como actualizar los
datos de los empleados.
permitirá explicar a sus clientes porque almacena sus datos y cómo trabaja con
ellos, así como actualizar los
datos de los empleados.
4.
Informe a su equipo de trabajo
Informe a su equipo de trabajo
Es
importante que su equipo sepa qué es el RGPD y cómo puede
afectar a la empresa. Además de formarle
para que lleve a cabo los
procedimientos adecuados para cumplir la normativa.
importante que su equipo sepa qué es el RGPD y cómo puede
afectar a la empresa. Además de formarle
para que lleve a cabo los
procedimientos adecuados para cumplir la normativa.
5.
Eliminación de datos
Eliminación de datos
Es
indispensable tener un sistema eficiente y eficaz que le permita borrar los datos cuando se solicite o no sean
necesarios.
indispensable tener un sistema eficiente y eficaz que le permita borrar los datos cuando se solicite o no sean
necesarios.
6.
Situación de crisis
Situación de crisis
Es
necesario elaborar y establecer una estrategia de gestión de crisis por si la
situación lo requiriera.
necesario elaborar y establecer una estrategia de gestión de crisis por si la
situación lo requiriera.
7.
Muestre que está cumpliendo con la normativa
Muestre que está cumpliendo con la normativa
Actualice
sus diferentes canales, página web, redes sociales y soportes varios y ponga de manifiesto que está poniendo en
práctica y cumpliendo el RGPD.
sus diferentes canales, página web, redes sociales y soportes varios y ponga de manifiesto que está poniendo en
práctica y cumpliendo el RGPD.
8.
Canales de acceso
Canales de acceso
Aquellos
que estén interesados en formar parte de sus
bases de datos, acepten los términos y lo soliciten, se les incluirá.
Por el contrario, aquellos que no hayan dado su autorización no se les estará
permitido y no deberían entrar a
formar parte de la base de datos de la compañía.
que estén interesados en formar parte de sus
bases de datos, acepten los términos y lo soliciten, se les incluirá.
Por el contrario, aquellos que no hayan dado su autorización no se les estará
permitido y no deberían entrar a
formar parte de la base de datos de la compañía.
9.
Protección de datos para menores de 16 años
Protección de datos para menores de 16 años
Los
menores de 16 años necesitarán el
permiso de sus padres o tutor con la nueva Ley de Protección de
Datos.
menores de 16 años necesitarán el
permiso de sus padres o tutor con la nueva Ley de Protección de
Datos.
10.
Nuevo cargo: Delegado de Protección de Datos (DPD)
Nuevo cargo: Delegado de Protección de Datos (DPD)
Se
recomienda incluir la figura de Delegado de Protección de Datos para
asegurar que se respeta y cumple con lo establecido en la RGPD. Este punto no
es obligatorio, pero si lo recomienda la UE. El perfil de DPD abarca desde un profesional externo a la empresa o algún
trabajador que asuma el rol.
recomienda incluir la figura de Delegado de Protección de Datos para
asegurar que se respeta y cumple con lo establecido en la RGPD. Este punto no
es obligatorio, pero si lo recomienda la UE. El perfil de DPD abarca desde un profesional externo a la empresa o algún
trabajador que asuma el rol.
Para
más información, puede consultar también la página Web de la AEPD:
más información, puede consultar también la página Web de la AEPD:
Pueden
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
Un
cordial saludo,
cordial saludo,
José María Quintanar Isasi