El año 2018 viene marcado por una fecha que ha traído (y sigue trayendo), muchos dolores de cabeza a las empresas, independientemente de si se trata de grandes compañías o micropymes. Y es que, el 25 de mayo comienza a ser aplicable de manera obligatoria el Reglamento General de Protección de Datos o, como se le llama por sus siglas, el RGPD.
Se ha hablado mucho de cuestiones trascendentales en el funcionamiento diario de las empresas y en cómo las nuevas directrices marcadas por la Unión Europea van a afectar a las cuentas y a las actividades de las organizaciones. Pero en este post no queremos adentrarnos en las particularidades de cada caso, sino más bien en las cuestiones genéricas que fija el RGPD y que se verán plasmadas en la transposición española, la nueva LOPD.
Veamos por tanto cuáles son las novedades en cuanto a protección de datos que nos llegan en este 2018:
- Cambio de enfoque: siguiendo con la tendencia legislativa que viene tomando la UE desde hace ya varios años, el RGPD hace más partícipes si cabe a las empresas y a las personas que las componen en lo que a proteger los datos se refiere. El nuevo principio de responsabilidad proactiva supone un cambio radical de perspectiva, ya que implica la implantación en la empresa de una cultura del cumplimiento y de prevención, fundamentada en un enfoque del riesgo.
- Análisis de riesgos: las empresas deberán llevar a cabo análisis de los riesgos relativos a la seguridad de los datos y a los posibles incumplimientos de la normativa, por lo que las medidas aplicables dependerán de cada empresa y de sus particularidades.
- Medidas de seguridad: a diferencia de las medidas tasadas que regulaba el Reglamento desarrollador de la LOPD, que se fundamentaba en el tipo de dato tratado (básico, medio y alto), ahora se da libertad a la empresa para aplicar aquellas medidas de ciberseguridad que sean necesarias para reducir o eliminar los riesgos detectados durante el análisis previo.
- Delegado de Protección de Datos: aparece la figura del Delegado de Protección de Datos, DPO por sus siglas en inglés, que se encargará de asesorar a las empresas en cuestiones relativas a la privacidad. Puede ser una persona interna o externa a la propia empresa, pero para garantizar la objetividad e imparcialidad de su trabajo, se recomienda que sea un servicio externalizado.
- Consentimiento informado: los nuevos requisitos para la obtención del consentimiento implican la modificación de todos los formularios que utilicemos para el registro de datos, bien sea en papel o a través de medios digitales. El cambio principal se establece en la ilicitud del consentimiento tácito, que deberá ser sustituido por una acción afirmativa o, lo que es más sencillo, un consentimiento expreso.
- Derechos del ciudadano: adicionalmente a los derechos ARCO (acceso, rectificación, cancelación y oposición), el nuevo Reglamento incluye los derechos de limitación del tratamiento, olvido y portabilidad de los datos, a los que habrá que dar respuesta en caso de solicitud de los mismos en un plazo de 1 mes.
- Brechas de seguridad: cualquier brecha de seguridad deberá ser notificada en el plazo de 72 horas desde el conocimiento de la misma a la Agencia Española de Protección de Datos, que ya ha habilitado un recurso electrónico para ello. Además, en aquellos casos en los que tal brecha suponga un riesgo para los derechos de los interesados, se deberá notificar a los propios afectados, lo que supondrá no sólo un gran coste para las empresas, sino también una importante pérdida reputacional.
- Relación con encargados de tratamiento: la relación con los encargados de tratamiento se hace más singular si cabe, ya que será necesario que acrediten su cumplimiento con la normativa. Además, se solicitará la existencia de un contrato por escrito firmado por ambas partes, que deberá incluir todas aquellas cláusulas que requiere el artículo 28 del RGPD.
- Sanciones: por último, los cambios en las sanciones son, sin duda, el aspecto que más preocupa en todas las organizaciones, ya que pasan a fijarse en función de la facturación de la empresa, siendo de entre el 2 y el 4% de la facturación anual anterior.
En definitiva, son muchos y sustanciales los cambios en protección de datos que vienen en este 2018, por lo que es fundamental que las empresas empiecen a tratarlos lo antes posible.
