A partir del 28-5-2018 todas las organizaciones deberán estar adecuadas para cumplir los requisitos del nuevo Reglamento General de Protección de Datos (RGPD). Este Reglamento europeo entró ya en vigor en mayo de 2016 y durante el periodo de transición, se está trabajando en la ley que sustituirá la actual Ley Orgánica de Protección de Datos (LOPD). Esto significa que todas las organizaciones ya deben estar adecuándose a los nuevos requisitos para asegurar su cumplimiento el año que viene.
Para dar una idea de lo que puede suponer esta adecuación, vamos a analizar los principales principios y requisitos que contempla este nuevo Reglamento.
El principio más importante es el de responsabilidad proactiva, que exige a todas las organizaciones una actitud consciente, diligente y proactiva en el tratamiento de datos personales.
Otra gran novedad es el enfoque de riesgo, determinando que las medidas que se implanten en las organizaciones tengan en cuenta el contexto y ámbito, la naturaleza, la finalidad del tratamiento y el riesgo para los derechos y libertades de las personas. Este enfoque exige una proactividad por parte de cada organización para analizar estos aspectos, determinar los riesgos y en función de su nivel, establecer las medidas necesarias para minimizarlo. También asegura una adecuación a la realidad de cada organización. (lopd y rgpd).
El gran cambio con respecto a la LOPD y el Reglamento que la desarrolla (RLOPD), es que desaparece la tipificación actual de niveles de datos (bajo, medio y alto) y las medidas de seguridad específicas a aplicar para cada nivel que marcaba el Reglamento. Ahora, las medidas de seguridad que hay que implantar dependerán del nivel de riesgo que se identifique en los tratamientos de datos personales.
RGPD y los derechos de las personas
Se introducen y refuerzan en el RGPD algunos derechos de las personas, de los cuales destacamos:
- Consentimiento inequívoco: Ya no se aceptará el consentimiento tácito o por omisión y se requiere una manifestación claramente afirmativa por parte de las personas para el tratamiento de sus datos
- Derecho de acceso: Se puede ahora obtener una copia de los datos personales que se estén tratando.
- Derecho al olvido: El precedente lo marcó el caso Google Spain, con la sentencia del Tribunal de Justicia de la UE, en el caso de datos hechos públicos, lo que constituye realmente una aplicación del derecho al borrado.
- Limitación del tratamiento: Los interesados pueden solicitar que cesen las operaciones de tratamiento de sus datos, por ejemplo, en el caso de tratamiento ilícitos en los cuales se debería proceder al borrado de los mismos, pero la persona interesada pide la limitación de tratamiento para poder realizar reclamaciones posteriores.
- Portabilidad: Este derecho permite a los interesados recibir los datos personales que han proporcionado a un responsable del tratamiento, en un formato estructurado, de uso común y legible por máquina, así como transmitir dichos datos a otro responsable del tratamiento sin impedimentos.
Además de lo anterior se establecen en el RGPD obligaciones propias a los encargados de tratamiento, es decir, cuando existe un tercero que realiza un tratamiento de los datos entregados a una organización. En este sentido, los encargados mantendrán un registro de las actividades de tratamiento, determinarán las medidas de seguridad aplicables y en los casos previstos en la ley, deberán designar un Delegado de Protección de Datos.
En relación a los encargados de tratamiento, la organización principal tendrá una responsabilidad activa, ya que como responsable de los mismos, deberá garantizar y poder demostrar que el encargado realiza el tratamiento conforme al RGPD.
Se extienden también las obligaciones en los supuestos en los que haya “quiebras de seguridad”, es decir, incidentes en relación a los datos personales tratados. Si el incidente puede suponer un riesgo a los derechos y libertades de los afectados, se establece una comunicación sin dilación a los mismos, para que puedan reaccionar lo antes posible.
En los casos en los que se detecten tratamientos con un alto riesgo cara a los derechos y libertades de los interesados, deberá realizarse adicionalmente una Evaluación de Impacto sobre la Protección de Datos (EIPD) e introducir las medidas necesarias para la mitigación de los altos impactos.
Y finalmente, la introducción del DPD (Delegado de Protección de Datos) que será obligatorio para las autoridades y los organismos públicos, cuando se traten datos personales a gran escala o cuando se traten datos sensibles dentro de la actividad principal. El DPD deberá tener una cualificación profesional que permita ejercer sus funciones y, además, se exige que tenga total autonomía en el ejercicio de sus funciones, que se relacione con el nivel superior de la alta dirección y que disponga de todos los recursos necesarios para desarrollar su actividad sobre la Lopd y Rgpd.
La Agencia Española de Protección de Datos ha puesto a disposición de todas las organizaciones, guías y herramientas para ayudar en la adecuación al RGPD.
La RGPD está entrando en su recta final y es el momento para que las organizaciones adecúen sus procesos y sistemas a esta nueva normativa que apuesta por reforzar los derechos y libertades de las personas, cuestión que cada día parece más relevante.