El nuevo Reglamento General de Protección de Datos (RGPD) (empieza a aplicarse el 25 de mayo de 2018), supone la transformación legislativa más importante de las últimas décadas en cuanto a privacidad. Anteriormente, el foco estaba puesto en un cumplimiento más formal, ahora, la normativa europea presta especial atención a la aplicación real de las medidas de protección de los datos y su integración en la cultura corporativa, teniendo en cuenta tres principios fundamentales:
Estas son las diez claves o puntos más destacados del nuevo RGPD:
1. FINALIDAD
El Reglamento establece la necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que lleva a cabo la empresa. Además, se exige que si el responsable de la gestión planea en un futuro usar dicha información para otro fin, deberá informar a los usuarios.
La identificación de finalidades y base jurídica tiene exigencias adicionales en los casos en que se traten datos de especial protección como los relacionados con salud, ideología, religión o pertenencia étnica. El tratamiento de estos datos está, con carácter general, prohibido y sólo podrá llevarse a cabo si es aplicable alguna de las excepciones previstas en el Reglamento.
2. CONSENTIMIENTO E INFORMACIÓN
El nuevo texto obliga a modificar las políticas de privacidad en lo referente a la recogida de datos personales. El consentimiento deberá ser libre, específico, informado e inequívoco mediante declaración o clara acción informativa. Los consentimientos conocidos como “tácitos”, basados en la inacción de los interesados, dejarán de ser válidos con la aplicación del RGPD.
El Reglamento obliga a ofrecer información más amplia que la actualmente recogida por la Ley Orgánica de Protección de Datos (LOPD). Precisa del mismo modo, que esta información se proporcione de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
3. REGISTRO DE ACTIVIDADES
Dejan de existir los “ficheros” y el correspondiente registro de los mismos ante la AEPD. Deberá establecerse y documentarse un procedimiento por el cual los responsables del tratamiento llevarán un registro de las actividades efectuadas en la materia. Dicho registro contendrá información relativa al tipo de datos personales que se recogen, los destinatarios, los plazos previstos para la supresión, la finalidad del tratamiento y las medidas técnicas y de seguridad adoptadas por la organización, entre otros aspectos.
4. NUEVOS DERECHOS
A los derechos “ARCO” (Acceso, Rectificación, Cancelación y Oposición) se añade el Derecho al Olvido (Derecho al borrado de los datos en el entorno online), la Limitación de Tratamiento (A petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían) y la Portabilidad (Los datos se deben entregar al interesado en formato estructurado, de uso común y lectura mecánica y si es posible, debe permitir ser trasmitido directamente a otro responsable)
5. EVALUACIONES DE IMPACTO
Cuando un tratamiento entrañe un alto riesgo, se deberá realizar antes del mismo una evaluación del impacto en la protección de datos personales, que consiste en un análisis de los riesgos de un determinado sistema de información, producto o servicio.
Se consideran aquellos que implican una evaluación sistemática y exhaustiva de aspectos personales mediante tratamiento automatizado (perfiles), un tratamiento a gran escala de categorías especiales de datos (podría ser el caso de Hospitales) o de datos relativos a condenas e infracciones penales, una observación sistemática a gran escala de una zona de acceso público (video vigilancia).
La norma exige implementar una metodología que permita evaluar los riesgos en el tratamiento de datos personales y adoptar las acciones pertinentes para mitigar o eliminar dichos riesgos.
6. SEGURIDAD DEL TRATAMIENTO
Para dar cumplimiento a las medidas de seguridad a aplicar sobre los datos personales se deberá analizar el nivel actual de riesgos asociados a los datos personales desde las dimensiones de confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento que intervengan en el ciclo de vida del dato, para posteriormente definir y diseñar el modelo de seguridad que se desea conseguir y las acciones necesarias para ajustarse a ese modelo.
7. BRECHAS DE SEGURIDAD
Toda violación de seguridad que se produzca y esté relacionada con datos personales deberá ser notificada a la autoridad de control sin dilación indebida y en casos graves a los afectados estableciéndose el plazo máximo de 72 horas. El RGPD establece, a su vez, la obligación de mantener un registro de todos los incidentes de seguridad, sean o no objeto de notificación y la notificación sin dilación indebida a los afectados en caso que supona un alto riesgo.
8. DELEGADO DE PROTECCIÓN DE DATOS
Será necesario designar a un delegado de protección de datos (Data Protection Officer, DPO) externo o interno en función de ciertos criterios, siendo algunos de ellos el volumen de datos gestionados o por las categorías especiales de éstos. Esta figura se encargará de supervisar y asesorar al encargado del tratamiento, así como de ejercer de nexo con la autoridad de control. El texto especifica también, los criterios para su designación, su posición dentro de la organización y sus funciones.
9. CERTIFICACIONES
Se prevé la creación de sellos y certificaciones de cumplimiento, que permitan acreditar el respeto al RGPD por parte de las empresas y organizaciones. Éstas serán voluntarias para reforzar la imagen y compromiso de las empresas.
10. RÉGIMEN SANCIONADOR
El régimen sancionador del RGPD prevé el incremento del importe de las cuantías, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual del grupo empresarial.