La nueva Ley de Protección de Datos (RDGP), supone un nuevo marco jurídico en la gestión de la protección de datos. Este acuerdo que fue aprobado a nivel europeo en 2016 (Reglamento UE 2016/679 del Parlamento Europeo y Consejo, de 27 de abril) debe ser aplicado por cada estado miembro, y su entrada en vigor se producirá con fecha 25 de Mayo de 2018.
Los ciudadanos independientemente del país europeo donde se encuentren al tener relación con empresas establecidas en el mismo o en otro país de la UE, tendrán una serie de derechos garantizados.
¿Por qué una nueva ley?
Los legisladores europeos son conscientes de que cada vez los datos son más importantes, y los negocios digitales a menudo los aprovechan en su beneficio sin garantizar derechos mínimos. Por ello ha creído necesario establecer una normativa y cultura de protección de datos personales en todas las organizaciones europeas, para que se traten adecuadamente. Por tanto todos los negocios en mayor o menor medida deberán adaptarse.
Si ya tengo la LOPD implantada ¿debo hacer algunos cambios?
Esta nueva normativa supone una revolución y conlleva un cambio sustancial en lo que la Ley de Protección de datos (LOPD) de 1999 contemplaba, ya que supone cambios legales, organizativos y técnicos.
La antigua normativa requería de la inscripción de los ficheros en la AGPD (Agencia de Protección de datos) a través de la herramienta NOTA y contar con un documento de seguridad, pero a partir de ahora no será necesaria dicha inscripción, ya que la normativa traslada a cada empresa la responsabilidad de acreditar que cuenta con los protocolos y pautas para un tratamiento de datos adecuado. Otros cambios afectan a los datos especialmente protegidos, que ahora se establecen en 2 categorías más como son la de datos biométricos y datos genéticos. Los derechos ARCO de la antigua ley se refuerzan para dotarlos de más relevancia.
Anteriormente no se precisaba comunicar las fugas de información o hackeos, por el contrario el reglamento establece la obligación de comunicar a la Agencia Española de Protección de Datos en un plazo de 72 horas dicho ataque y en los casos más graves, también se deberá comunicar a los propios afectados.
No Hay Soluciones Estandarizadas, cada uno deberá analizar y adaptarlas a su propio negocio
¿Qué otras novedades trae la nueva Ley de Protección de Datos?
Para garantizar los derechos de los usuarios se han establecidos medidas en áreas claves como:
- La obtención del consentimiento del interesado para el tratamiento de datos. No hay consentimiento tácito desde la entrada en vigor y será necesaria una afirmativa expresa por parte de la persona.
- Responsabilidad proactiva: las empresas deberán adaptar sus procedimientos, documentación e instalaciones a la norma de LOPD, diseñando medidas de seguridad deben según el tratamiento de datos que se vaya a realizar.
- Transparencia e información a los interesados. Existe deber de informar a los usuarios de forma clara y comprensible del uso de sus datos.
- Derecho al olvido, limitación y portabilidad: los ciudadanos pueden solicitar que sus datos personales sean suprimidos cuando dejen de ser necesarios para la finalidad perseguida. Se puede limitar y acotar los datos estrictamente necesarios para prestar el servicio objeto del contrato, y la portabilidad garantiza la posibilidad de facilitar la transición de nuestros datos entre compañías del mismo sector.
- Se regula la figura del Delegado de Protección de Datos, que mantendrá relación directa con la Agencia Española de Protección de Datos, en representación de su entidad.
- La AEPD se constituye como una autoridad independiente vinculada al Gobierno a través del Ministerio de Justicia.
- Se endurecen las sanciones: La Agencia Española de Protección de Datos podrá imponer sanciones de hasta el 4% de la facturación anual, así como responsabilidades de carácter civil, penal y laboral, en el caso de que se produzcan hechos de gravedad alta.
Mi negocio es pequeño ¿también me afecta?
Si, ya seas autónomo, pyme o gran empresa, deberás aplicar modificaciones en tu manera de tratar los datos que manejas. Los datos son algo cotidiano y es necesario analizar y revisar cuándo y cómo se recogen en cada negocio. Por ejemplo lo vemos en casos como:
- Recoger datos personales de clientes o proveedores en hojas de pedidos, encargos, presupuestos, fichas de clientes, facturas, etc…
- Página web, tener cookies activadas en la página web (si tu web recopila el modo de navegar los usuarios por ejemplo) o tener un formulario de contacto, donde te faciliten datos.
- Mandar una newsletter a determinados clientes y/o usuarios.
- Cámaras de vigilancia, que graban a clientes o trabajadores.
- Datafono, cuando recibimos pagos de las tarjetas de los clientes.
- Datos personales que tratamos en relación a nóminas y contratos de los trabajadores.
Estos ejemplos son bastante comunes pero no son los únicos. Aunque el RGPD prevé que algunas disposiciones se apliquen de forma menos rigurosa para las pequeñas empresas, no deber ser tomado a la ligera, puesto que nos podemos encontrar con pequeños gimnasios o clínicas que tratan datos de alta sensibilidad como son los de salud, que aunque no se tratan a gran escala si los comparten con otros profesionales. No hay soluciones estandarizadas, cada uno deberá analizar y adaptarlas a su propio negocio.
Esperamos que este artículo haya servido de ayuda, si tienes alguna duda estamos a tu disposición. Puedes contactar con nosotros para darte otras pautas de cumplimiento de esta normativa y evitar incidencias.
La entrada Nueva Ley de Protección de Datos: rasgos destacables aparece primero en Asesoria Gutierrez.
