El Reglamento General de Protección de Datos (RGPD) es uno de los cambios normativos más importantes llevado a cabo por la Unión Europea en esta materia. A pesar de los dos años de margen para adecuarse a las nuevas obligaciones, muchas empresas todavía no han adaptado sus estructuras. Esta legislación, de obligado cumplimiento a partir del 25 de Mayo de 2018, otorgará un mayor grado de control a los ciudadanos sobre su información privada en internet, pero también impondrá cambios radicales para las empresas.
Así, como ya hemos indicado, a partir del 25 de Mayo de 2018, tendrás que dar tu consentimiento inequívoco para que las empresas puedan usar tus datos si eres ciudadano europeo. Es más, te tendrán que decir qué datos están utilizando, cómo los están tratando, para qué se usan y quién es la persona responsable de los mismos.
El nuevo Reglamento General de Protección de Datos regula el tratamiento de cualquier tipo de dato personal y las empresas gestionan a diario millones de ellos: desde nombres, a datos bancarios y de consumo, perfiles de cliente e información médica, considerada esta última más sensible.
Algo importante a destacar es que el reglamento incluye el Derecho al Olvido, que permite impedir la difusión de información personal a través de internet cuando su publicación no cumpla los requisitos previstos. Explicamos a continuación los principales cambios en materia de protección de datos con la entrada en vigor del Reglamento General de Protección de Datos.
A continuación explicamos qué es el reglamento general de protección de datos y qué derechos y deberes recoge la nueva regulación. Recuerda que su cumplimiento es obligatorio, si necesitas adaptar tu página web o negocio, ponte en contacto con nuestro despacho de Málaga para más información:
Reglamento General de Protección de Datos. Guía útil
¿Qué es el nuevo RGPD?
El Reglamento General de Protección de Datos (RGPD) es una normativa que regula la protección de datos del consumidor y que sustituye a la que hasta el 25 de Mayo está vigente, la LOPD.
Su tramitación y aprobación se hizo en 2016, por lo que desde entonces ya podía aplicarse, pero se concedió un amplio plazo de ajuste de 2 años hasta su entrada en vigor, de esta forma, todas las empresas afectadas podían realizar modificaciones a sus documentos de seguridad, bases de datos y aplicaciones en internet para poder ajustarse a lo que marca la ley.
Los principales puntos que el nuevo RGPD modifica respecto a la anterior LOPD se basan en:
- Obtención del consentimiento para el tratamiento de datos
- Deber de información
- Derechos de los interesados
- Evaluación de impacto del tratamiento de los datos personales
- Comunicación de fallos a la AEPD
- Registro de tratamiento de datos
- Aplicación de medidas de seguridad
- Delegado de protección de datos
Privacidad, Códigos de conducta y Esquemas de certificación
Obtención del consentimiento para el tratamiento de datos
Norma hasta el 25 de Mayo 2018 (LOPD): La norma exige el consentimiento inequívoco de los interesados para el tratamiento de sus datos. Eso sí, si los datos recabados no son especialmente sensibles, se admite que el consentimiento sea tácito. En cuanto a tratamiento de datos de menores de edad, la ley señala la posibilidad de recabar los mismos sin el consentimiento de los padres si son mayores de 14 años.
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): El Reglamento General de Protección de Datos mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco.
La novedad será que para poder considerar que el consentimiento es inequívoco deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. De esta forma, el silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento.
Además se establecen condiciones para obtener el consentimiento de los menores, de manera que no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.
Deber de información
Norma hasta el 25 de Mayo 2018 (LOPD): La LOPD actual establece la obligación de informar en todo proceso de recogida de datos personales sobre la existencia de un fichero o tratamiento de datos de carácter personal, la identidad del responsable del tratamiento, la finalidad de la recogida de los datos y de los destinatarios de la información, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Además, si los datos personales se han obtenido de terceros, el responsable del tratamiento dispondrá de un plazo de 3 meses para informar al interesado, debiendo indicar la procedencia de los datos.
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): El Reglamento General de Protección de Datos establece la obligación de informar sobre nuevos aspectos. Uno de ellos, será explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos si consideran que hay un problema con la forma en que están manejando sus datos.
En lo que respecta al interesado cuyos datos se han obtenido de terceros, la información anteriormente indicada deberá facilitarse en el plazo de máximo de 1 mes.
Derechos de los interesados
Norma hasta el 25 de Mayo 2018 (LOPD): Los derechos se recogen en la actual LOPD son:
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de oposición.
Derecho de cancelación.
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): Además de los anteriores, en el Reglamento General de Protección de Datos se incluyen los siguientes:
- Derecho a la transparencia de la información.
- Derecho de supresión (derecho al olvido).
- Derecho de limitación.
Derecho de portabilidad.
Además, se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de kis derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios.
Evaluación de impacto del tratamiento de datos personales
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): Esta es una materia que no se regula en la actual LOPD, pero que sí se regulará a partir de la entrada en vigor del reglamento. Se establece al respecto la obligación de realizar una evaluación de impacto (Privacy Impact Assessment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
Comunicación de fallos a la AEPD
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): Sobre esta materia, igualmente, no hay regulación anterior al reglamento. La nueva norma impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.
Registro de tratamiento de datos
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): Tampoco se regula esto en la LOPD y por lo tanto es novedad del nuevo reglamento. A partir del 25 de Mayo las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento. Este registro, hasta que la Agencia Española de Protección de Datos (AEPD) proporcione otra información, se puede incluir en el Documento de Seguridad.
Aplicación de medidas de seguridad
Norma hasta el 25 de Mayo 2018 (LOPD): Actualmente existe la obligación de aplicar diferentes medidas de seguridad, en función del nivel básico, medio o alto de los datos tratados. Dichas deben estar concretadas y descritas en el Documento de Seguridad.
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): El Reglamento General de Protección de Datos ya no hace distinción entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
La norma menciona la aplicación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse.
Responsable de Seguridad
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): La norma actual incluye la figura del Responsable de Seguridad, que debe ser designado obligatoriamente en el supuesto de tratamiento de ficheros de nivel medio/alto de seguridad. Sus funciones son coordinar la implementación de las medidas de seguridad.
Delegado de protección de datos
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): Con el Reglamento General de Protección de Datos se crea una nueva figura, el Delegado de Protección de Datos, que asume nuevas competencias en materia de coordinación y control del cumplimiento de la normativa. Sus funciones son principalmente:
Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General.
Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Entre otras, asignación de responsabilidades, formación del personal y auditorías correspondientes.
Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
Ejercer de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
El Delegado de Protección de Datos es obligatorio si el tratamiento lo lleva a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial, si las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala o si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
Más información sobre el delegado de protección de datos en este artículo de nuestro blog.
Privacidad, Códigos de Conducta y Esquemas de Certificación
Norma aplicable desde el 25 de Mayo de 2018 (RGPD): En la LOPD no se regulaba, se trata de una nueva forma de reforzar la responsabilidad de las empresas en el cumplimiento del reglamento. Así, se establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento. Además, se proponen como mecanismos efectivos de verificación del cumplimiento la adhesión a códigos de conducta o a mecanismos de certificación.
Derecho al Olvido y Derecho a la Portabilidad
Dentro del nuevo Reglamento Europeo de Protección de Datos están recogidos, además de todo esto, el derecho al olvido y el derecho a la portabilidad.
Derecho al Olvido. El derecho al olvido del que ya hablamos en este otro artículo, y que está recogido ya por el Tribunal de Justicia de la Unión Europea en 2014, defiende el derecho de las personas a que información obsoleta o no relevante por el transcurso del tiempo sea bloqueada, suprimida o desindexada. A partir de ahora, solicitar que se supriman los datos personales dadas determinadas circunstancias será más fácil que antes. Estas circunstancias se circunscriben en si se han recogido los datos ilícitamente, si ya no son necesarios o si ha retirado en la forma adecuada su consentimiento.
Derecho de Portabilidad. Este derecho consiste en que todo el mundo tendrá derecho a solicitar el envío de los datos que tenga una empresa de uno mismo para transmitirlos a otro responsable de una empresa distinta.
Sanciones por no cumplir con el nuevo RGPD
Las sanciones que puede acarrear el incumplimiento de las normas sobre protección de datos varían en función si la infracción se considera leve, grave o muy grave. Para evaluar la gravedad de las sanciones se tienen en cuenta varios factores, entre los que están el tiempo que lleva cometiéndose la infracción, el volumen de información tratada de manera fraudulenta, los beneficios obtenidos de las infracciones, el grado de intencionalidad, el daño causado con sus acciones, etc. Hay que estar al caso concreto
En cuanto a las sanciones en sí, las multas administrativas que se contemplan pueden alcanzar:
- Sanción Leve. No hay un rango mínimo de cuantía.
- Sanción Grave. Hasta los 10 millones de euros o el 2% del volumen de negocio anual global.
Sanción Muy Grave. Hasta los 20 millones de euros, o el 4% del volumen de negocio anual global.
Abogado adaptación RGPD
Si después de leer todo esto has llegado a la conclusión de que necesitas a un profesional para que te ayude a adaptar tu empresa a la nueva normativa del Reglamento General de Protección de Datos, el departamento de nuevas tecnologías de Sánchez Bermejo Abogados está especializado en hacer auditorías a empresas y sitios web para que cumplan con todo lo que marca la ley. Desde 100 € más IVA, en función del tamaño de la empresa o sitio web, podrás cumplir con la ley en materia de protección de datos y estar tranquilo de que no te recaerán sanciones.
Si deseas ponerte en contacto con un abogado experto en adaptación al RGPD para no cometer ningún error en esta materia que pueda ser irreparable, puedes hacerlo a través del teléfono +34 717 717 587, por Whatsapp al mismo número, en la dirección de correo electrónico [email protected] o a través del siguiente formulario:
Referencias |
Reglamento de Protección de Datos |
Sánchez Bermejo Abogados
A través de nuestros abogados de Málaga te ofrecemos resolución a tus consultas legales, defensa en tribunales, apoyo jurídico de todo tipo para empresas y particulares, divorcios y separaciones, asesoramiento fiscal y tributario, expedientes de extranjería, conflictos de derecho internacional, asesoramiento laboral, derecho bancario y de seguros, reclamación de cláusulas suelo, derecho animal y del medio ambiente, gestión y asesoramiento inmobiliario y mucho más. Nuestras oficinas están en Málaga, y prestamos servicio a toda España. Consúltanos.