GDPR corresponde a las siglas de Reglamento General de Protección de Datos y se define como la nueva normativa europea sobre privacidad, sucesora de la LOPD en España. 260 páginas repletas de normas sobre privacidad… ¡que no cunda el pánico!
A partir del próximo 25 de Mayo de 2018, todos los países miembros de la Unión Europea serán partícipes de la nueva reforma realizada por la UE. El nuevo reglamento europeo de protección de datos tiene como principal objetivo garantizar unos estándares de protección elevados y adaptados a nuestra realidad actual. Supone un gran avance hacia la consecución de un verdadero mercado digital único y homogéneo. En lo que nos resta de tiempo hasta entonces, hemos de adaptar las medidas jurídicas y organizacionales, para garantizar su cumplimiento, tanto con nuestros clientes como con las autoridades.
Esta nueva legislación obliga a las organizaciones a revisar los procesos asociados y el uso concreto de los datos personales de los consumidores individuales, tanto en términos de seguridad, como de almacenamiento. Este nuevo reglamento afecta también a aquellas empresas ubicadas fuera de la UE que hacen uso de datos de ciudadanos europeos.
La autoridad supervisora en España será la Agencia Española de Protección de Datos, y no únicamente gestionará sanciones; este nuevo reglamento también ofrece ventajas y oportunidades:
- A las empresas: conllevará implantar un estándar a nivel europeo que ahorrará tiempo y costes.
- A los ciudadanos: garantizará la confidencialidad y una mayor proyección de los datos personales.
Para abrir apetito te recomendamos, en primer lugar, revisar las cláusulas informativas de los procesos de recogida de datos e incluir las nuevas imposiciones. Esta Guía para el Cumplimiento del Deber de Informar es un buen punto de partida informativo, bon appètit!
Las diez novedades más destacadas del nuevo Reglamento Europeo de Protección de Datos
1. Se añaden nuevos principios:
- Transparencia: favorece las relaciones entre el responsable de los datos, el ciudadano y las autoridades de control. Desaparece la obligatoriedad de notificar y registrar los ficheros a la Agencia Española de Protección de Datos. El nuevo registro se llevará a cabo internamente a través del Documento de Seguridad.
- Limitación de la finalidad de la recogida de datos, explícitamente.
- Minimización de datos: Obligación a garantizar que solo se traten los datos personales necesarios y pertinentes para cada fin específico.
2. Nuevos derechos de los ciudadanos:
La ley actual de derechos ARCO establece cuatro derechos fundamentales: Acceso, Rectificación, Cancelación y Oposición. Con este nuevo reglamento, se amplían:
- Derecho a la transparencia de la información.
- Derecho de supresión (derecho al olvido): Cualquier individuo tiene derecho a que su información de carácter personal sea eliminada del proveedor del servicio. Así mismo, si este último ha divulgado cualquier enlace a los datos aportados, es el responsable de eliminar cualquier enlace, copia o réplica de éstos con el claro objetivo de eliminar de la red cualquier dato de forma definitiva.
- Derecho de limitación.
- Derecho a la portabilidad de datos entre responsables de distintas empresas de forma ágil si el interesado quiere que se transmitan, por ejemplo, en el caso de las portabilidades entre compañías telefónicas.
3. Incremento del deber de información. El consentimiento debe recoger:
- Persona responsable del fichero.
- Inscripción de los ficheros en el Registro General de Protección de Datos.
- Finalidad de la recogida de datos.
- Posibilidad de ejercer Derechos ARCO.
- Base legal para el tratamiento de los datos.
- Período de conservación de los mismos.
- Posibilidad de reclamaciones.
- Informar de los nuevos derechos incorporados.
4. Aumento del importe de las sanciones
No hay cuantías mínimas establecidas, pero -agárrate-, las máximas pueden rondar los 20 millones de euros o hasta el 4% del volumen del negocio de la empresa infractora.
5. Consentimiento
- Posibilidad de solicitar datos de mayores de 14 años sin necesidad de consentimiento de sus padres.
- Respecto a datos de clientes ya existentes, es importante tener en cuenta que si el consentimiento no se encontraba claramente especificado, deberá volverse a solicitar. El tratamiento de datos sin el consentimiento se entiende como una infracción muy grave según el nuevo ordenamiento.
6. Principio de Responsabilidad Proactiva
Bajo el principio de responsabilidad proactiva, la nueva ordenanza, exige al responsable del tratamiento de los datos que aplique las medidas técnicas que garanticen que se está tratando la información conforme a las nuevas reglas. O lo que es lo mismo, que exista por parte de las empresas una actitud proactiva y responsable de los datos.
7. Obligatoriedad de llevar a cabo evaluaciones para determinar el cumplimiento normativo
Para que se apliquen correctamente los derechos y libertades de las personas físicas ha de realizarse una evaluación de impacto (Privacy Impact Assessment).
8. Nuevas notificaciones a la Autoridad de Control: violaciones de seguridad de los datos.
Si existe cualquier alteración en el protocolo o tratamiento de los datos, ha de notificarse a la autoridad competente (AEPD en España) en el plazo de 72 horas desde que se produzca. Si este inciso provoca riesgos en los interesados, hay una obligación de notificarles igualmente.
9. Nueva figura: el Delegado de Protección de Datos (DPO Data Protection Officer)
Esta nueva figura se define como el asesor de protección de datos de la empresa, que lleva a cabo cualquier competencia relacionada con la coordinación, supervisión, aplicación y control del cumplimiento de la nueva normativa. Este puesto será obligatorio únicamente para empresas públicas, aquellas con tratamiento a gran escala o las que trabajen con datos sensibles o relativos a infracciones penales/condenas.
10. “Ventanilla Única”
El organismo superior coordinador será el Comité Europeo de Protección de Datos, pero se establece un sistema de “ventanilla única” para que, en el caso de tener que reclamar en cualquiera de los Estados miembros, pueda acudirse ante la autoridad del país concreto.
* Algunos Consejos
Os resumimos las conclusiones más importantes de lo que aporta el nuevo reglamento europeo de protección de datos y a lo que deberíais prestar especial atención:
- Hacer uso de los datos únicamente para el propósito para el cual se recopiló la información.
- Obligatoriedad de conocer qué archivos tenemos y qué datos contienen.
- Especificar el modo en el que procesamos los datos y garantizamos la seguridad.
- Conocer con detalle los derechos de los sujetos y ejercerlos.
- Realizar una evaluación de Impacto de la Privacidad (DPIA) cuando trabajemos con datos personales.