Con la aprobación del Reglamento Europeo de Protección de Datos (RGPD), se está buscando que todos los países que pertenezcan a la Unión Europea tengan una legislación armonizada para sus ciudadanos. Asimismo, con la aprobación del reglamento se da respuesta a nuevos retos que hasta ahora no estaban contemplados. ¿Pero qué cambios significativos tendrán que afrontar las empresas para cumplir la ley confrontando LOPD vs. RGPD?
El Reglamento General de Protección de Datos (RGPD) será de obligado cumplimiento para todas las compañías a partir del próximo 25 de mayo de 2018, fecha hasta la cual sigue vigente la LOPD. Los principales cambios van enfocados a proporcionar una mayor seguridad a los usuarios. Asimismo, se fortalecen los derechos de los ciudadanos para que tengan todas las opciones y control sobre sus datos.
Hay que destacar que la nueva LOPD protege a los ciudadanos de la Unión Europea, tanto si la empresa pertenece a dicho ámbito como si presta servicios dentro de ella.
Debemos tener en cuenta que dentro de los trámites con la Agencia Española de Protección de datos (AEDP), se incorporan dos nuevas categorías especiales:
• Los datos genéticos.
• Los datos biométricos.
Por ejemplo, si los trabajadores de una compañía usan su huella digital para fichar, dichos datos tienen que tratarse como personales y tienen una especial protección. Además, todo el tratamiento realizado tiene que estar documentado ante la AEDP, al mismo tiempo que se recoge la obligación de notificar cualquier filtración o fallo de seguridad en un máximo de 72 horas.
Por otra parte, para que se pueda facilitar el consentimiento a la protección de datos, la información será proporcionada de forma concisa, transparente, inteligible y de muy fácil acceso y comprensión. El ciudadano tendrá todas las opciones de aceptación o rechazo.
Por ello, se amplían sus derechos, con la limitación del tratamiento a los mínimos indispensables para prestar un servicio, pero también con el derecho al olvido o a la portabilidad de datos para poder recuperarlos en un formato que permita transferirlos a otro responsable de tratamiento designado.
Las empresas tendrás más obligaciones y limitaciones a la hora de recoger datos. Deberán ser los mínimos necesarios para los fines para los que son tratados. Igualmente se limita el tiempo de uso, así que una vez haya acabado el servicio, la empresa tendrá que dejar de usarlos.
Por otro lado, es importante la obligación de realizar un análisis de riesgos, antes incluso de poner en marcha el tratamiento de datos. A simple vista parece sencillo, pero la cosa se complica cuando aumenta el grado de sensibilidad de los datos que se están tratando.
Un punto muy importante es que los datos se deben protegerse desde el inicio. Antes de comenzar con el tratamiento de los mismos, hay que diseñar otro que garantice la seguridad. Todas estas obligaciones no las contemplaba la LOPD, por lo que las compañías tendrán que tomar las medidas oportunas antes del próximo 25 de mayo, ya que puede ser bastante complejo.
Por otro lado, se introduce la figura del Delegado de Protección de Datos (DPA). Será el punto de contacto para los usuarios y sus datos deben ser comunicados a la AEPD. Asimismo, deberá acreditar sus conocimientos y estar certificado para realizar esta tarea.
El principal cambio que existe tiene que ver con la responsabilidad activa de las compañías. Prevalecen los derechos de los usuarios frente a los intereses comerciales que pueda tener la propia empresa que está realizando el tratamiento de datos. Y para asegurarlo, las compañías tienen que demostrar que están cumpliendo la norma.
Por lo que respecta a las sanciones, las organizaciones se enfrentan a multas de mayor cuantía en caso de incumplimiento. Mientras que la LOPD establecía sanciones entre 900 y 600.000 euros en los casos más graves, el nuevo RGPD será mucho más estricto.
Las organizaciones pueden llegar a pagar el 4% de la facturación global anual o hasta 20 millones de euros, la cantidad que sea mayor. La condena podrá imponerse incluso cuando no haya pérdida en sí de los datos. Por ello, es fundamental recibir la formación adecuada para poder tener todo listo llegado el momento de la entrada en vigor de este nuevo reglamento.
Fuente: AGPD
