El Reglamento europeo de Protección de Datos entró en vigor el 25 de mayo de 2016 y será de obligatorio cumplimiento el 25 de mayo de 2018
Cumplir con la Ley de Protección de Datos será un ‘must’ en mayo de 2018. El Reglamento Europeo, que entró en vigor en 2016, cambia su concepción sobre la privacidad de las personas con las que interactuamos. En este artículo, tres expertos nos explican las claves para adaptar nuestra empresa a los nuevos cambios que la ley trae consigo.
El consentimiento al uso de datos, las cláusulas informativas o las quiebras de seguridad, son algunas de las novedades que conlleva esta normativa, cuyo objetivo es proteger la privacidad del usuario. En este sentido, y en lo que respecta a la interacción con el usuario, María Esteban, Responsable de seguridad en materia de LOPD en grupo ASPY y Administrativa Jurídica en su depto. de Asesoría, explica que el lenguaje que la empresa debe adoptar para que un usuario acepte el consentimiento a utilizar sus datos, debe ser “claro y sencillo”. “En términos coloquiales, como comentamos, han de poder entenderlo incluso nuestros abuelos. «Ya no vale decir que según X artículo de la ley X haré uso de estos datos y ya está». Se tiene que especificar el uso, su finalidad, el modo que tienen los usuarios para su eliminación”.
En cuanto al consentimiento, Ruth Flotats, experta en protección de datos RH, igualdad y formación, explica que “no se permite el consentimiento tácito, lo que obliga a todas las empresas a revisar el conjunto de cláusulas y rehacerlas. Además, este consentimiento debe ser revocable en cualquier momento. Las organizaciones deben asegurarse de que los datos sólo están siendo empleados para los fines para los que fueron recabados”. Además, las cláusulas informativas deberán modificarse y adaptarse teniendo en cuenta los nuevos derechos como el de limitación, portabilidad, supresión (derecho al olvido), los datos de contacto del delegado de protección de datos cuando lo hubiera, la base jurídica del tratamiento, los destinatarios o las categorías de destinatarios de los datos personales, la intención del responsable de transferir datos personales a un tercer país u organización internacional y el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo, etc.
Gestión y Data Protection Officer
Para la gestión de los datos, cada empresa deberá nombrar un representante para que supervise las acciones que tienen que ver con el buen cumplimento de la norma y de su Reglamento. Flotats,, explica que “el RGPD contiene obligaciones expresamente dirigidas a los encargados. La responsabilidad última sobre el tratamiento sigue estando atribuida al responsable, que es quien determina la existencia del tratamiento y su finalidad. Según el RGPD, el responsable deberá adoptar medidas apropiadas, incluida la elección de encargados, de forma que garantice y esté en condiciones de demostrar que el tratamiento se realiza conforme el RGPD (principio de responsabilidad activa)”.
Así pues, el ‘data protection officer’ o delegado de protección de datos es una figura esencial en el nuevo reglamento europeo. Éste tendrá que identificar todos los posibles riesgos y buscar soluciones para solventarlos, se encargará de la planificación de las medidas de seguridad aplicables a los tratamientos de datos, así como la gestión de los mismos. Hay que destacar que servirá de enlace entre la empresa y la autoridad de control y esto solo será obligatorio en determinados casos, los cuales encontremos regulados en la nueva RGPD cuando ésta definitivamente se apruebe.
Para el consultor de RGPD, José Manuel Sanz Prieto, “se acabó la época en la que se regalaban adaptaciones a la RGPD por la compra de un curso de Excel”. “Ahora el mercado seleccionará a los auténticos consultores en materia de privacidad y dejará de lado los que simplemente se dedicaban a cumplimentar formularios”.
Violaciones de normativa
Cuando una empresa viole o quiebre la normativa, el responsable de tratamiento deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. Asimismo, tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, si existiera algún riesgo para sus derechos y libertades fundamentales.
Es fundamental, por tanto, que las empresas adopten medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece. La responsabilidad proactiva, según Flotats, requiere que las empresas efectúen un análisis de riesgo de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser procedimientos sencillos en entidades que no llevan a cabo más que unos pocos tratamientos elementales que no supongan, por ejemplo, datos especialmente protegidos, o trabajos más complejos, en entidades que desarrollen muchos tratamientos, que afecten a gran número de personas o que por sus características requieren de una valoración cuidadosa de sus riesgos, que en este caso de deberá llevar a cabo una Evaluación de impacto de protección de datos.
El análisis de riesgo, anteriormente mencionado, se precisará en el momento en el que los tratamientos que encontramos en diferentes organizaciones estén necesitados de unas medidas que ayuden a aplicar la norma y supervisen la ejecución en las tareas. Es imprescindible dicho análisis para asegurar a la empresa que trabaja de un modo correcto el tráfico de datos a todos los niveles. Con esto, las empresas verán que deben revisar sus avisos de privacidad para que estos incluyan en la información que se detalla para los afectados, donde por ejemplo, se detalle el tratamiento de datos y sus periodos de retención.
[CURSO SUBVENCIONADO]
Derechos del usuario
Como usuario, la ley está detallando y fortaleciendo aspectos íntimos de las personas y, por tanto, podemos solicitar bloqueos en la lista de buscadores.
La legislación española establece que para ejercer los derechos de cancelación y oposición (y, por tanto, el ‘derecho al olvido’) es imprescindible que el ciudadano se dirija en primer lugar a la entidad que está tratando sus datos, en este caso al buscador. Los buscadores mayoritarios han habilitado sus propios formularios (Google, Bing o Yahoo ) para recibir las peticiones de ejercicio de derechos en este ámbito. Si la entidad no responde a la petición realizada o el ciudadano considera que la respuesta que recibe no es la adecuada, puede solicitar que la Agencia Española de Protección de Datos tutele su derecho frente al responsable. En función de las circunstancias de cada caso concreto, la Agencia determinará si lo estima o no. Esta decisión de la Agencia, a su vez, es recurrible ante los Tribunales. Detalla agpd.es en el parágrafo.
¿Cómo tener tu empresa acorde con la Normativa?
En nuestro centro de formación ofrecemos diferentes cursos relacionados con la normativa para las empresas y todos los temas relacionados con temas de obligación ante la ley. Año tras año revisamos las novedades en el mercado para ofrecer a nuestros alumnos el mejor material y actualizado.
Gracias a nuestro curso de la RGPD y con un apartado específico en su temario (actualizado para dicha normativa del 2018) dónde el alumno encontrará 6 unidades didácticas que darán todas las especificaciones correspondientes para el cumplimiento de la RGPD, los trabajadores que realicen este curso podrán autentificar la seguridad dentro de su empresa.
Para finalizar esta noticia os ofrecemos la argumentación de Francisco José Fernández, como Auditor comercial de Ciberseguirad LOPD nos habla de la importancia de estos cambios:
Somos conscientes de la importancia de los datos personales de las personas que se relacionan con nosotros. La titularidad de los mismos y la salvaguarda que impone la normativa vigente para que los datos personales no se lleguen a usar con una finalidad distinta a la deseada por su titular. Como en otros aspectos de la gestión diaria de las entidades sin fines lucrativos, la protección de datos de carácter personal se puede mejorar. Desde que en 1999 se publicó la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal y, más recientemente, con la entrada en vigor del RD 1720/2007 que aprueba su reglamento de desarrollo. Se hace cada vez más patente la necesidad de que cualquier entidad, del tamaño que sea, siempre y cuando acceda y gestione datos de carácter personal debe ponerse al día. El objetivo: salvaguardar los datos personales, hacer eficaces los derechos ARCO que sus titulares tienen sobre los mismos (acceso, rectificación, cancelación y oposición) y evitar posibles sanciones de las agencias de protección de datos que tienen competencia en la materia.Para ello se han puesto en marcha un servicio exclusivo para ONG que de cobertura completa a estas necesidades en materia de protección de datos personales.