Las claves de Letslaw para llevar a cabo la adaptación del RGPD en las empresas y anticipar estrategias con amparo de cobertura legal ante posibles riesgos. Un repaso a los aspectos más destacados del nuevo reglamento de protección de datos y a las consecuencias legales, con asesoramiento integral para evitar sanciones

El 25 de mayo de 2018 comenzará a ser de aplicación el Reglamento General de Protección de Datos (en adelante, RGPD) a todas las empresas que operan en la Unión Europea, sustituyendo la Ley Orgánica de Protección de Datos del año 1999.

El RGPD podría tener consecuencias de gran alcance para nuestra industria, si bien muchos de sus conceptos y principios son parecidos a la norma actual, el RGPD introduce nuevos elementos, que suponen nuevas obligaciones para las empresas y organizaciones de la UE.

Conforme nos vamos acercando a la fecha límite, el cumplimiento con las nuevas normas se hace necesario, no solo por las importantes sanciones de hasta un 4% de la facturación global anual o 20 millones de euros que se establecen, sino por la relevancia para muchos negocios de publicidad digital, que por vez primera tienen que cumplir con las normas de protección de datos.

Desde Letslaw hacemos un repaso a este nuevo reglamento de protección de datos, al objeto de informar a las empresas sobre las novedades y sus consecuencias, tanto en España como en el resto de Europa, para facilitar el derecho de sus negocios y las claves a la adaptación de los cambios gubernamentales y el entorno digital y tecnológico.

Adaptación a la legislación de Protección de Datos

El primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. De esta manera será más sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categoría, origen, si son susceptibles de ser compartidos, etc.

El Reglamento ofrece varias vías para aplicar una base legal sólida al tratamiento de datos. Las dos bases jurídicas más utilizadas en el entorno digital son el consentimiento y el interés legítimo.

  • El consentimiento es reforzado por el RGPD y ha de ser libre, específico, informado e inequívoco, consistiendo en una declaración o una clara acción afirmativa, no admitiéndose el consentimiento tácito.
  • El interés legítimo en el que se ampara el tratamiento de datos deberá constar de forma clara como base de legitimación que habilita el tratamiento de datos en la política de privacidad, cumpliendo así con el principio de transparencia, que en todo caso, el aviso deberá ser conciso, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

El RGPD recoge un concepto nuevo, el de seudonimización. Este concepto puede consistir en un proceso al que someter los datos, por ejemplo, a través de  encriptación o hashing, para garantizar que estos ya no están directamente vinculados a un individuo. En cualquier caso, es fundamental tener en cuenta que el RGPD establece que los datos seudonimizados siguen siendo datos personales, y, por tanto, será necesaria una legitimación para tratarlos.

Por lo que se refiere a los derechos del titular, el RGPD amplía los derechos con la limitación de tratamiento a los datos indispensables para prestar un servicio y, una vez acabado, tendrán que dejar de utilizarlos, pero también con el derecho al olvido o a la portabilidad de datos para poder recuperarlos en un formato que permita transferirlos a otro responsable de tratamiento designado.

El RGPD mantiene las nociones de «responsable del tratamiento» y «encargado del tratamiento» que se encuentran en la legislación actual de protección de datos, para distinguir entre las diferentes funciones que desempeñan las organizaciones en el tratamiento de datos personales. Sin embargo, introduce una figura nueva que es el Delegado de Protección de Datos (DPD). El RGPD estipula que uno de los criterios para decidir si es necesario designar un delegado de protección de datos es cuando “las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”.

El DPO puede ser, sin ir más lejos, un trabajador de la entidad o un consultor externo, encargado de comprobar y registrar el tratamiento que se realiza de los datos personales dentro de la organización. Para ayudar en este tema, las autoridades europeas de protección de datos han aprobado un documento con Directrices sobre el Delegado de Protección de Datos.

Otra modificación relevante consiste en que el RGPD exige a los responsables del tratamiento que hayan sufrido una infracción que suponga un daño para el individuo, como robo de identidad o violación de la seguridad de los datos personales, notifiquen a su Autoridad de Protección de Datos. Esto es lo que se conoce como brechas de seguridad, que pueden tener importantes consecuencias. Por lo tanto, las empresas deben asegurarse de poner en marcha todos los procedimientos que permitan detectar, informar e investigar una brecha de seguridad.

En definitiva, estamos ante un Reglamento cuyos principales cambios van enfocados a proporcionar una mayor seguridad los usuarios y a fortalecer los derechos de los ciudadanos para que tengan todas las opciones de control sobre sus datos.

Por todo lo anterior, las empresas y organizaciones se van a ver en la situación de establecer más medidas de seguridad para sus bases de datos. Para ello, es importante una auditoría interna y una revisión de contratos con usuarios y proveedores, teniendo en cuenta aspectos como el consentimiento informado y de responsabilidad activa, así como una implementación de medidas legales que se deriven de los estudios internos.  

Si necesitas más información sobre la adaptación al RGPD puedes consultarnos.