Todo lo que debes saber sobre el Reglamento General de Protección de Datos
https://seguridad.prestigia.es/wp-content/uploads/2018/04/eloi-font-reglamento-general-de-proteccion-de-datos-1024x690.png 1024 690 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/04/eloi-font-reglamento-general-de-proteccion-de-datos-1024x690.pngSi tienes una pyme y has oído hablar que el próximo 25 de mayo será aplicable el Reglamento General de Protección de Datos y no sabes muy bien qué significa ni si te afecta, muy probablemente te interesará continuar leyendo este artículo.
¿Qué es el Reglamento General de Protección de Datos (RGPD)?
Es una nueva regulación europea que, como Reglamento comunitario que es, se aplicará de forma directa y por igual en todos los Estados Miembros y afectará a organizaciones de la Unión Europea (UE), con independencia de dónde se realiza el tratamiento de sus datos, así como a organizaciones de fuera de la UE, cuando traten datos de ciudadanos de la UE derivados de una oferta de bienes o servicios o a causa de una monitorización y seguimiento de su comportamiento.
Como consecuencia de la próxima aplicación del RGPD, se está reformando la Ley Orgánica de Protección de Datos (LOPD), aunque está previsto que, pronto, se apruebe una nueva ley española de protección de datos que esté totalmente alineada con el RGPD.
¿Qué nuevas obligaciones tendrá tu empresa a partir de ahora?
La regulación europea crea un nuevo marco en el que se introducen cambios, no solamente a nivel jurídico, sino también de tipo técnico y organizativo para tratar de introducir la “cultura de la privacidad” en las organizaciones. Vayamos por partes.
Hasta ahora, si una empresa trataba datos personales de, por ejemplo, clientes, proveedores, empleados o usuarios de la página web o la App corporativas, tenía que notificar los correspondientes “ficheros” a la Agencia Española de Protección de Datos (AEPD) mediante la cumplimentación de unos formularios para su inscripción en el Registro General. Con el RGPD, esta obligación desaparece y muta a una nueva que es la de tener que implementar unos documentos, denominados “Registros de Actividades de Tratamiento” (RAT), en los que deben reflejarse los aspectos básicos de los tratamientos de datos. A diferencia de los ficheros, los RAT no se tienen que notificar ni inscribir en la AEPD, sino implementar.
Hasta ahora, también era necesario implementar cláusulas y políticas en los canales de recogida de datos (por ejemplo, en los contratos con clientes o proveedores, en contratos laborales, pero también en formularios de contacto de la web o la app de la empresa) para informar, entre otros aspectos, de la finalidad del tratamiento, si se iban a comunicar datos a terceros o dónde se podían ejercer determinados derechos, como los derechos de acceso, rectificación, cancelación y oposición. El RGPD refuerza dicha obligación y añade nuevos requisitos como, por ejemplo, tener que informar del plazo de conservación de los datos, si se van a transferir fuera de la UE y de las posibilidades de revocar el consentimiento prestado o de reclamar ante la Autoridad de Control. Ello implica que, antes del 25 de mayo es necesario volver a informar a todos los interesados (clientes, proveedores, empleados, etc.) de los nuevos requisitos que prevé el RGPD si se desea continuar tratando sus datos.
Dado que hay más información a ofrecer/notificar y que el RGPD también prevé que las comunicaciones se hagan con un lenguaje sencillo y claro, es recomendable que todo se realice a través de un sistema de doble nivel o capa. Así, por ejemplo, si tu empresa recoge datos personales a través de una página web o una app, será necesario incluir, debajo del formulario de datos, una versión resumida de la política de privacidad e informar de cómo el usuario puede acceder a una versión más detallada, que deberá estar en un segundo nivel.
Teniendo en cuenta que el RGPD exige un consentimiento inequívoco (en el que se exige una acción afirmativa por parte del interesado) y, en algunos casos, explícito, para tratar los datos con carácter general, es necesario revisar si en el pasado hemos tratado datos con consentimiento tácito de los interesados y, en consecuencia, proceder a regularizarlo antes del 25 de mayo.
Además, es necesario revisar los contratos suscritos con proveedores que accedan o traten datos por cuenta de la empresa (como, por ejemplo, las gestorías, asesoría o empresas de hosting) y suscribir con todos ellos un nuevo contrato para recoger los requisitos introducidos por el RGPD. Igualmente, es recomendable proceder a realizar un análisis de riesgos con una empresa especializada, que determine las medidas de seguridad más adecuadas para el tipo de tratamientos de datos que realiza la empresa, ya que con el RGPD desaparece el listado detallado de medidas de seguridad que había hasta ahora.
Además, si tu empresa lleva a cabo tratamientos de datos sensibles masivos o realiza evaluaciones de perfiles a gran escala, será necesario determinar si estás obligado a llevar a cabo una auditoría específica, denominada “Evaluación de Impacto”, para tratar de adaptar el producto o servicio a los requisitos del RGPD y de tener que designar un Delegado de Protección de Datos, figura que podrá ser interna o externa a la organización, que se encargará de supervisar de forma continuada el cumplimiento del RGPD por parte de la empresa.
Finalmente, a partir del 25 de mayo, habrá que notificar a la AEPD, en un plazo máximo de setenta y dos horas, las violaciones de seguridad que sufra la empresa cuando afecte a datos personales y suponga un riesgo para los derechos y libertades de los interesados. Ello se deberá realizar a través del canal de comunicaciones electrónicas habilitado por la misma AEPD. Además, si es probable que la violación de seguridad ocasione daños de entidad a los interesados, por ejemplo, porque se desvela información confidencial como contraseñas o se difunden datos sensibles de forma masiva, también será necesario notificarlo a los afectados.
¿Qué sucede si no cumples con el RGPD?
Además de perder la oportunidad de ofrecer una ventaja competitiva a los titulares de los datos, el incumplimiento del RGPD también puede acarrear la imposición de importantes sanciones administrativas que, en el peor de los casos, pueden llegar a ser de 20 millones de euros o, en el caso de las empresas, del 4% del volumen de negocio global del ejercicio fiscal anterior.
*Post invitado, por Eloi Font, director de Font Advocats, partner legal de Prestigia Seguridad