Coincidiendo en el tiempo con el escándalo de Facebook, y a pesar de las poco convincentes explicaciones y disculpas que su responsable, Zuckerberg, ha facilitado primero en Estados Unidos y ahora en Europa, en unos días será de obligado cumplimiento la Nueva Ley de Protección de Datos (RGPD) de la Unión Europea.
En realidad, el RGPD entró en vigor en 2016, estableciéndose un periodo transitorio de dos años que expira el próximo viernes, día 25 de mayo de este año.
Pymes, autónomos y grandes empresas tendrán que ponerse las pilas para cumplir rigurosamente con la nueva norma, ya que en caso contrario el Reglamento prevé sanciones de hasta 20 millones de euros.
Entre otras, el RGPD establece obligaciones tales como la de implantar sistemas de cifrado y de doble factor de autenticación.
Para implementar estas medidas, la Ley Orgánica de Protección de Datos permite a las empresas elegir entre dos opciones:
- Cifrado: a través de herramientas que facilitan el cifrado de portátiles, dispositivos, extrapoles, correos electrónicos y archivos de empresas de todos los tamaños.
- Alternativamente al cifrado convencional, se permite que, mediante cualquier mecanismo, como la esteganografía o el espectro ensanchado se pueda garantizar que la información no sea inteligible ni manipulada por terceros.
La RGPD establece también una actitud mucho más productiva para las empresas en su política de protección de datos.
Por ejemplo, deberán comunicar las brechas de seguridad que pudieran producirse, extrayendo información constante sobre los intentos de intrusión y accesos no autorizados.
Además, será obligatorio comunicar los detalles del fallo a las personas cuyos datos hayan podido verse afectados.
Teniendo en cuenta la cuantía de las sanciones que la ley establece para aquellas empresas que incumplan la normativa, lo mejor es acreditar su cumplimiento mediante un sistema de Gestión de Seguridad de la Información.
En consecuencia, la privacidad deberá ser considerada como un factor previo a cualquier tratamiento de datos.
En particular, las pymes deberán incorporar en sus plantillas la figura del Delegado de Protección de Datos, que será el profesional encargado de velar por el estricto cumplimiento de la Ley.
Para la correcta aplicación de la Ley, la Agencia Española de Protección de Datos publicó en su momento una guía detallada para las empresas, que incluye, entre otros materiales:
- La “Guía de Reglamento para responsables de tratamiento”.
- “Directrices para elaborar contratos entre responsables y encargados”.
- Una “Guía para el cumplimiento del deber de informar”.
La finalidad de la publicación es ofrecer a las empresas, en particular a las Pymes, todas las facilidades posibles para adaptarse a las nuevas exigencias legales, con toda la información que debe ofrecerse al ciudadano, de forma clara y comprensible.
En definitiva, se trata de dar mayor poder a los interesados sobre la gestión de sus datos personales, tanto en las redes sociales, teléfonos móviles, banca electrónica, etc. A la hora de realizar el tratamiento de los mismos.
Por si quedara alguna duda la Agencia Española de Protección de Datos publicó en su día (año 2016) un cuestionario de 12 preguntas de fácil comprensión y lectura que reproducimos a continuación de forma resumida (puedes acceder al documento completo en este enlace) y que pueden ser útiles para comprender el enlace de la norma que ahora será de obligado cumplimiento:
- La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos Española?
No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta 2 años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.
2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?
El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Países de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.
3. ¿A qué empresas u organizaciones se aplica?
El Reglamento se aplicará como hasta ahora a responsables o encargados del tratamiento de datos establecidos en la unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
4. ¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?
Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.
5. ¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?
El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
6. ¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?
El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de información (por ejemplo, redes sociales) es de 16 años.
7.¿Qué implica la responsabilidad activa recogida en el Reglamento?
Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa.
8. Entonces, ¿supone una mayor carga de obligaciones para las empresas?
El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Por ello, no implica necesariamente ni en todos los casos una mayor carga. En muchos casos, será solo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.
9. ¿Cambia la forma en la que hay que obtener el consentimiento?
Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
10.¿Deben las empresas revisar sus avisos de privacidad?
Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que, con la Directiva y muchas leyes nacionales de transposición, no eran necesariamente obligatorias.
11. ¿En qué consiste el sistema de “ventanilla única”?
Este sistema está pensado para que los responsables establecidos en varios Estados miembro o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única autoridad de protección de datos como interlocutora.
12. ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?
No. El Reglamento está en vigor, pero no será aplicable hasta 2018.
Sin embargo, puede ser útil para las organizaciones que tratan datos empezar a valorar ya la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.
Para finalizar, como siempre, ante cualquier duda aconsejamos ponerse en manos de expertos que podrán asesorarnos con detalle y de forma adecuada.
