¿En que afecta a mi empresa la nueva Normativa RGPD?

Pues bastante, ya que cambia (casi) TODO:

  • Cambia la filosofía. Antes la LOPD te decía lo que tenías que hacer, y tú lo hacías o te podían multar. Con el RGPD la protección de datos se lleva al inicio de la actividad. De hecho, es uno de los nuevos principios: protección de datos por defecto y desde el diseño. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos.
  • Cambian los derechos de los afectados. Además de los derechos habituales ARCO (acceso, rectificación, cancelación -ahora supresión- y oposición -ahora limitación-), surge el derecho al olvido (revocación del consentimiento para el tratamiento de datos, pudiendo exigir su eliminación en redes sociales o buscadores) y el de portabilidad de los datos (se podrá solicitar la transferencia de los datos de un proveedor de servicios en Internet a otro). Los nuevos derechos, por supuesto, suponen nuevas obligaciones para ciertas empresas.
  • Surgen nuevas figuras, como el Delegado de Protección de Datos (DPO por sus iniciales en inglés), que es la persona, interna o externa, que asista a las organizaciones en el proceso de cumplimiento normativo.
  • Cambia la documentación. Las cláusulas (por ejemplo de obtención del consentimiento) y contratos (siendo el más habitual el del Encargado del Tratamiento) serán mucho más complejos, ya que deberán incluir obligatoriamente una serie de información adicional que ahora no incluyen. Por ejemplo, la información que debía tener una cláusula legal en materia de protección de datos debe ser, como mínimo la siguiente: finalidad, destinatarios de los ficheros, obligación o no de la entrega de datos y sus consecuencias, derechos del interesado (los comentados en el punto anterior) y la identidad del responsable. Ahora, además, tendrá que informar de: la base jurídica, el tiempo máximo de tratamiento, la identificación del DPO (si procede), si existen transferencias internacionales (fuera de la UE), el derecho a presentar una reclamación (se habilita una ventanilla única europea, por cierto) y si existen o no decisiones automatizadas sobre el tratamiento de los datos.
  • Cambian los trámites administrativos. Ya no habrá que inscribir Ficheros en la AEPD, sino registrar Tratamientos. Esto es mucho más dinámico… pero a nivel práctico es posible que conlleve una carga administrativa superior.
  • Aumentan las sanciones, que ahora serán de hasta 20 millones de euros o un 4% de la cifra de negocio. Es decir, las sanciones máximas se multiplican por más de 30… Por tanto, se hace aún más imprescindible el cumplimiento de esta normativa.
  • Etc. Un extenso etc.

Toda Europa de la mano.

A partir del 25 de mayo, tendrás que dar tu consentimiento inequívoco para que las empresas puedan usar tus datos si eres ciudadano europeo. Es más, te tendrán que decir qué datos están utilizando, cómo los están tratando, para qué y quién es la persona responsable de los mismos.

Ese día entra en vigor en toda Europa una nueva ley de protección de datos: GDPR (General Data Protection Regulation). Una normativa que afecta a todas aquellas empresas que traten datos de los ciudadanos europeos aunque sean de Estados Unidos, como Google o Facebook.

Las grandes multas a las que se enfrentan quienes no cumplan con ella son uno de los puntos más controvertidos y mediáticos. Pero detrás de estas siglas también se esconde una nueva manera de informar a los usuarios sobre qué información cedemos y para qué se usa.

Qué es GDPR (o RGPD)

GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.

El reglamento entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a partir del 25 de mayo de 2018.

Durante estos dos años, la Ley Orgánica de Protección de Datos (LOPD) ha seguido vigente, pero tiene fecha de caducidad. De hecho, se espera que en unos meses se apruebe una nueva ley (está ahora mismo en proceso de tramitación parlamentaria) que permita o facilite la aplicación del Reglamento. Esta nueva ley no puede contradecir a GDPR, pero sí que definirá mejor algunos de sus aspectos (cuando un usuario es considerado menor, por ejemplo)

Rafael García, responsable del área internacional de AGPD

Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea y unifica, por tanto, tanto los derechos como las obligaciones.

De hecho, durante años fue una reivindicación de muchas empresas y sectores, como el tecnológico, quienes tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales para poder ofrecer sus servicios en Europa.

Dudas y mitos acerca del RGPD

Aprovechándose de la ignorancia en temas legales (que lógicamente no tienes por qué tener, para eso estamos los especialistas en ello), muchas empresas están haciendo su particular agosto con esto de la nueva ley. A continuación te escribimos algunas de las dudas típicas que nos han consultado algunos de nuestros clientes, e intentaremos clarificar algunos mitos y falsedades. ¡Que no te engañen!

¿Tengo que cumplir el RGPD?

Sí, al igual que la LOPD. Siempre que trates datos personales, claro. Es decir, si estás leyendo esto, casi con total seguridad, ya que tratarás datos de clientes, usuarios web, empleados, videocámaras…

¿Tengo que estar adaptado antes del 1 de Enero?

No, pese a que te haya llegado publicidad engañosa, debes adaptarte antes del 25 de Mayo de 2018, no del 1 de Enero.

Por supuesto, te recomendamos no esperar al último día. Si eres cliente nuestro, te iremos enviando notificaciones e iremos modificando la documentación de manera gradual para que todo esté listo mucho antes de la fecha límite. Si aún no lo eres, te aconsejamos que lo empieces a gestionar en las próximas semanas, poniéndote como fecha límite en Marzo, como muy tarde...

Me han dicho que tengo que tener un delegado de protección de datos (DPO)

No es cierto. No todas las empresas tienen que tener un DPO, solo las que:

  • Lleven a cabo una observación habitual y sistemática de interesados.
  • Traten a gran escala categorías especiales de datos (datos especialmente protegidos, como salud, religión…).

 

Si no es tu caso, no tienes por qué tener un DPO en tu empresa. Sin embargo, eso no implica que no tengas por qué tenerlo. Puedes valorar contar con esta figura para la gestión y el control de la protección de datos dentro de la empresa y cómo actuar como punto de contacto entre ésta y la AEPD, que seguirá siendo el organismo de control.