¿En qué consiste el RGPD?
Muy pocas empresas son conscientes de las implicaciones del nuevo Reglamento General de Protección de Datos. Conocido por las siglas RGPD, este nuevo reglamento de la UE no es aplicable hasta el día 25 de mayo de 2018, pero tiene una gran importancia, ya que las empresas deberían adaptarse para cumplir con esta normativa cuando sea de aplicación.
Hablamos de una normativa europea, un reglamento de la UE; es de obligado cumplimiento para los Estados miembros desde el momento en el que se aprueba, no hay que incorporarlo al ordenamiento jurídico. No obstante, España está adaptando la nueva legislación que sustituye a la LOPD con algunas precisiones que hay que tener en cuenta.
En estos momentos, si deseas cumplir con la normativa de datos, más vale que tu empresa vaya poniéndose al corriente de en qué consiste el RGPD, ya que a partir de este año tendrá que cumplir la normativa.
¿En qué consiste el RGPD (Reglamento General de Protección de Datos)?
El Reglamento 2016/679 es muy parecido a la legislación nacional de protección de datos, pero tiene algunas novedades que las empresas deberían tener en cuenta. De cara a adaptarse a las nuevas necesidades, conviene solicitar asesoramiento LOPD para asegurarse de que nuestra empresa está cumpliendo la legalidad.
Veamos algunas de las novedades que hay que tener en cuenta.
1. Debe incluirse la base legal
Según la nueva normativa, es imprescindible que se incluya la base legal sobre la que se va a desarrollar el tratamiento de los datos, al proporcionar información en el instante de recabar datos de las partes interesadas.
Hay que especificar y documentar, además, los intereses en los que están fundamentadas esas operaciones de tratamiento, por ejemplo en lo que se refiere a las Evaluaciones de Impacto sobre la Protección de Datos, o bien sobre algunas transferencias internacionales.
Deberíamos, pues, identificar los ficheros que incluyan información de carácter personal y dotarles de un rango de seguridad que sean suficientes para protegerlos.
2. Elegir un encargado del fichero y un responsable
El Reglamento General de Protección de Datos obliga también a elegir un encargado de fichero. Se trata del encargado del tratamiento de datos y su obligación es analizar los riesgos a los que la información puede quedar expuesta.
El responsable tiene que asignar a un encargado de fichero, que será quien se ocupe de la protección de dichos datos. Ambos se encargarán, pues, de la custodia de datos. En caso de violación de los mismos, ambos se someterían a las sanciones legales.
3. Se establece el principio de responsabilidad activa
El principio de responsabilidad activa consiste en que el consentimiento del usuario en la cesión de datos sensibles tiene que ser explícito, también cuando se lleven a cabo determinadas transferencias de datos internacionales. Los usuarios, además, deberían recibir información directa sobre el tratamiento de datos que tendrá la información que faciliten.
Hay que saber también que los responsables del tratamiento de datos deben hacer un dossier donde se valoren los riesgos del tratamiento de datos que se vayan a realizar. Las empresas que tengan menos volumen pueden limitarse a realizar una simple reflexión sobre el tratamiento de datos de sus clientes.
4. Informar a la AEPD sobre los ficheros
Al igual que hasta ahora, las empresas tendrán que comunicar tanto a la Agencia Española de Protección de Datos como al propietario de los mismos, de la existencia de ese fichero donde se almacena la información de datos.
5. Derechos de las personas
De la misma forma que en la anterior normativa, los derechos de las personas serán el de acceso, posibilidad de borrar información, corregir inexactitudes, evitar la comercialización de los datos, portabilidad de los mismos y prevención a la hora de tomar decisiones sobre ellos o crear perfiles automatizados.
6. Comunicación de la privacidad
En lo que respecta a la comunicación de la privacidad, debemos crear un plan para realizar cambios de cara a la implementación de la RGPD. La nueva normativa supone tener que explicar la información relacionada con la base legal de protección de datos, los derechos de las personas y los períodos de retención en un lenguaje claro, conciso y sencillo de entender.
Tendríamos, por tanto, que revisar los avisos de privacidad de los que se dispone actualmente y desarrollar un plan para llevar a cabo los cambios que hagan falta para implementar la RGPD. La nueva normativa supone además que debemos explicar la información a la que hace referencia la base legal de protección de las personas.
¿Qué implicaciones tiene la nueva normativa de protección de datos?
Tu empresa debe estar al corriente de los cambios y novedades que la rgpd implica para tu negocio. La regulación del tratamiento de datos por parte de las empresas cobra una importancia en las actuales circunstancias, cuando la propia normativa europea está llevando a cabo acciones para que las grandes multinacionales como Facebook o Amazon traten los datos de acuerdo a una normativa unificada.
La rgpd se adoptó en el año 2016, pero la Comunidad Europea dio dos años de plazo para que las empresas y los organismos públicos y, en general, todo el que trate datos de terceros, se adapten a las nuevas normas. Si hablamos de España, el pasado 10 de noviembre de 2017 se aprobó en el Consejo de Ministros el Proyecto de Ley Orgánica de Protección de Datos, la legislación que sustituirá a la norma actual.
Es, pues, determinante, que tu empresa audite el tratamiento de datos que está llevando a cabo actualmente y empiece a cumplir las normativas para evitar el riesgo de posibles sanciones.