Acerca de RGPD

¿Qué es el RGPD?

El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y es aplicable a partir del 25 de mayo del 2018.

Los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46. No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo reglamento.

Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

 

Diferencias básicas entre LOPD y el RGPD

Las diferencias entre la anterior normativa (LOPD) y la nueva (RGPD) a grandes rasgos son:

Actitud proactiva frente a la pasiva actual

Se añade el principio de responsabilidad proactiva (accountability): documentar de forma constante y sistemática los distintos tratamientos de datos personales para justificar que se actúa conforme al RGPD.

Desaparece la notificación de ficheros, que se sustituye por una obligación de comunicar los datos de contacto del delegado de protección de datos.

A partir de ahora se llamarán tratamientos y habrá que tener un registro de los mismos.

Obligación de documentar más extensa que incluye:

  • Los fines del tratamiento
  • La categoría de datos y afectados
  • Las transferencias internacionales
  • Las medidas de seguridad
  • Desaparece el consentimiento implícito y todos los contactos obtenidos con este procedimiento se considerarán nulos si no se renuevan de forma explícita

Se mantienen los derechos de acceso, rectificación, cancelación y oposición (ARCO) y se añaden:

  • Derecho al olvido
  • Derecho de portabilidad

En determinados casos las empresas deberán elaborar una evaluación de impacto sobre la protección de datos que reflejará los riesgos y amenazas a los que se enfrenta un servicio o producto desde que se pone en marcha.

Se van a modificar los consentimientos legales / clausulas

  • El consentimiento tácito, desaparece. Ahora el consentimiento debe de ser expreso.
  • Van a aparecer más datos
  • Aparecen nuevos derechos y deberes

Los contratos con encargados del tratamiento de los datos:

  • Se va a solicitar más información y los contratos van a ser más complejos
  • De las más importantes, cabe destacar, que hay que demostrar que se cumple con la normativa (Responsabilidad Proactiva)

Responsabilidad Proactiva: El responsable del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que el tratamiento es conforme con el Reglamento

Delegado de Protección de Datos (DPO / DPD): Esta nueva figura afecta únicamente a las empresas que cumplan alguno de los siguientes requisitos:

  • Autoridades y Organismos Públicos
  • Empresas cuyas actividades principales traten datos a gran escala
  • Empresas cuyas actividades principales traten datos sensibles
  • Empresas que realicen perfiles

 

Medidas de Seguridad RGPD

En el RGPD, los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Las medidas técnicas y organizativas deberán establecerse teniendo en cuenta:

  • El coste de la técnica
  • Los costes de aplicación
  • La naturaleza, el alcance, el contexto y los fines del tratamiento
  • Los riesgos para los derechos y libertades.

El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática.

En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece la LOPD si los resultados del análisis de riesgos previo concluyen que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. En ocasiones será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas.

 

Sanciones

MENOS GRAVES:
  • No atender la solicitud de rectificación o cancelación por motivos formales.
  • No proporcionar información a la APD.
  • No solicitar inscripción de fichero en el RGPD (puede ser infracción grave).
  • Recoger datos sin proporcionar información a los afectados.
  • Incumplir el deber de secreto (puede ser infracción grave).
  • Se sancionan con multas de hasta 10 millones de € o un 2% de la facturación global
MAS GRAVES:
  • Recoger datos personales sin consentimiento expreso de los afectados.
  • Tratar de usar datos de carácter personal incumpliendo la legislación (puede ser infracción muy grave).
  • Mantener datos inexactos, sin rectificar o cancelar.
  • Mantener ficheros, locales, programas o equipos con datos personales sin las debidas medidas de seguridad.
  • Vulnerar el deber de secreto de ficheros de nivel medio.
  • Se sancionan con multas de hasta 20 millones de € o un 4% de la facturación global

 

Servicios RGPD ONLINE

  • La adaptación LOPD-RGPD incluye los siguientes servicios:
  • Notificación de los ficheros correspondientes a la AEPD (LOPD).
  • Redacción del registro de actividades de tratamiento (RGPD).
  • Redacción del Documento de Seguridad.
  • Entrega de todas las cláusulas para cumplir con el deber de información y consentimiento.
  • Redacción de todos los textos legales para la página web (LSSICE).
  • Elaboración de los contratos de confidencialidad con terceros con acceso a datos (encargados de tratamiento – ET) y con los trabajadores.
  • Entrega de la documentación para cumplir con los protocolos y derechos ARCO.
  • Informe de recomendaciones técnicas.
  • Manual para los usuarios con acceso a datos.
  • Análisis de riesgos y evaluaciones de impacto.

Mantenimiento RGPD ONLINE

  • Dentro del mantenimiento anual de RGPD se realizan las siguientes acciones:
  • Atención telefónica para consultas y asistencia técnica.
  • Atención telefónica de consultas de las normativas del RGPD.
  • Mantenimiento y actualización del Documento de Seguridad.
  • Envío automático a lo largo del año de formularios de seguimiento para ayudar en tareas pendientes.
  • Información periódica de novedades relativas a la protección de datos y seguridad.
  • Revisión anual del Documento de Seguridad.