La Unión Europea publicó en mayo la versión definitiva del Reglamento Europeo de Protección de Datos. Antes de entrar en detalle de qué implica, las preguntas que nos pueden surgir son: ¿Qué ocurre con la LOPD? ¿Sigue vigente? ¿Queda derogada? ¿Qué hacemos?
Afortunadamente tenemos respuesta para eso. La LOPD permanecerá vigente hasta la entrada en vigor del Reglamento. ¿Qué implica esto? Sencillamente que el pistoletazo de salida está dado, es decir, las organizaciones disponen de un plazo aproximado de dos años para poner en práctica las medidas indicadas en el Reglamento. Durante ese periodo convivirán las directrices previstas en la Ley 15/1999 (LOPD), RD 1720/2007 (RLOPD) y para transferencias internacionales, la directiva europea 95/46.
Respecto a las organizaciones, ¿cómo afecta el Reglamento Europeo de Protección de Datos?
El Reglamento aplica a las organizaciones establecidas en la Unión Europea o que presten servicios a ciudadanos de la Unión, por tanto si ya aplicaba la LOPD en tu empresa, obviamente también lo hará el Reglamento Europeo. Además para aquéllas que presten servicios en la UE, por ejemplo Facebook, ahora el Reglamento sí será de aplicación.
En referencia a los cambios establecidos, como síntesis se puede indicar que aquellas que ya tuvieran claros los principios de la LOPD y las medidas a aplicar, a priori no deberían tener problemas para su implementación.
No obstante, como resumen, hay que destacar los siguientes cambios:
Importancia del consentimiento en el tratamiento de datos.
Con el Reglamento se potencia todavía más dicha importancia, al establecer como no válidos algunos consentimientos que se pudieran clasificar como tácitos. Ya no valdrá con informar únicamente, sino que la recogida del consentimiento deberá ser clara, y además, activada por el usuario, bien marcando algún aspecto, firmando o haciendo clic en un botón de un formulario. Si además, este tratamiento de datos refiere a datos sensibles (salud, creencias, etc.) deberá ser todavía más explícito si cabe y que, de forma inequívoca, tenga el “sí quiero” del afectado.
Delegado de protección de datos
El Reglamento establece la obligatoriedad del nombramiento de un delegado de protección de datos en los siguientes casos:
- Organismo público
- Tratamientos que requieran un seguimiento continuado de datos de interesados a gran escala
- Tratamientos de datos especiales a gran escala o de infracciones penales.
Administraciones públicas y organizaciones que efectúen tratamientos de datos masivos (como Facebook o similares) o bien tratamientos con datos especialmente protegidos (hospitales, centros de salud, etc.) deberán nombrar esta figura, cuyas funciones serán las de supervisar que los preceptos del Reglamento se cumplen, así como dar respuesta a los derechos de los ciudadanos y ofrecer consejo a la organización acerca de protección de datos, así como efectuar evaluaciones de impacto y colaborar con la autoridad de control.
Autoridad de control y notificación de incidentes
Como método de supervisión, la Agencia de Protección de Datos actuará como autoridad de control, velando por el correcto cumplimiento del Reglamento.
Como novedad, los Responsables del Tratamiento, en caso de sufrir una vulneración de datos personales, indicado en el Reglamento como “violación de seguridad de los datos personales”, tendrá la obligatoriedad de informar de este hecho a la autoridad de control como máximo en un periodo de 72 horas, con el fin de controlar y asesorar a las organizaciones en dichas fugas y poder poner límites a la propagación de dichas violaciones de datos en otras empresas u organizaciones.
Derecho al olvido y a la portabilidad de los datos
Nuevos derechos introducidos por el Reglamento. El primero de ellos protege a los ciudadanos para poder suprimir los datos cuando ya no fueran necesarios, se suprima ese consentimiento o se recaben de forma ilegal.
El ejemplo más claro puede ser resumido con Google. A través del buscador se indexan datos que pueden no ser autorizados por el afectado o llevar a informaciones obsoletas y/o erróneas.
La portabilidad de los datos refiere a la posibilidad de trasladar los datos objeto de tratamiento de un responsable a otro (sobre todo orientado a las operadoras de telefonía u organismos similares).
Privacidad desde el diseño y calidad de los datos.
La información a recoger debe ser analizada antes de comenzar su recogida, y comprobar que es la información imprescindible para prestar un servicio. Las organizaciones deberían revisar cuando se recopilan datos. Por ejemplo, para suministrar una información, deben valorar si es necesaria la recogida de nombre, apellido, DNI, dirección, teléfono, etc. siendo que con un correo electrónico, a día de hoy, parece suficiente para dicha finalidad.
Menores y consentimiento
El Reglamento establece los 16 años como edad en la cual los menores pueden, por sí mismos, prestar el consentimiento. En España este aspecto se reduce hasta los 14 años.
Es importante recalcar que si los tratamientos están orientados específicamente a menores, el lenguaje deberá ser perfectamente entendible para ellos, además de contar con su consentimiento expreso.
Análisis de riesgos de los tratamientos.
Las organizaciones, con la finalidad de conocer cuáles son sus tratamientos más problemáticos, deberán efectuar un análisis de riesgos, para poder aplicar medidas y garantizar la seguridad de dichos datos. El tipo de medidas y el número dependerán obviamente de la criticidad de la información tratada por la organización (no será lo mismo un pequeño negocio como una papelería y las medidas asociadas a dichos tratamientos que un centro de acogida a menores).
Actitud proactiva de las organizaciones conforme a la seguridad de la información
El objetivo del Reglamento es concienciar a las organizaciones en efectuar una protección de la información de forma preventiva y proactiva, actuando antes de que se produzcan los incidentes gracias a herramientas como las evaluaciones de impacto, delegados de protección de datos y la implementación de medidas de seguridad.
Trabajo para la adaptación
¿Todo lo hecho anteriormente implantado con la LOPD es inútil y debo empezar de cero? No, lo único que habrá que efectuar es una modificación o una gestión diferente de la seguridad, variando algunos de los parámetros o formas de trabajar de las actuales, continuando la línea y visión existente en la organización, y complementándolos con los aspectos establecidos en el Reglamento y que se han desarrollado en este artículo.
Si quieres ampliar información puedes descargarte el video y contenido del Webinar 6 pasos básicos para que tu organización esté al día respecto de la LOPD
Autor: Miguel Alloza
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.