¿Estás investigando sobre los cambios introducidos por el Reglamento General de Protección de Datos (RGPD)? ¿Te has preguntado cuáles son los cambios exigidos por el RGPD?
A continuación te menciono los cambios más relevantes que introdujo el RGPD. También encontrarás una lista de actividades que debes realizar y los ajustes que debes implementar a nivel documental para que tu empresa esté adaptada al RGPD. Tienes como fecha límite hastael 25 de mayo de 2018, fecha en la que serán exigibles y sancionables, en caso de omisión, las obligaciones derivadas del RGPD.
I. Cambios relevantes del tratamiento de datos:
1. Se incluye el principio de Accountability. En este principio se soporta toda la estructura del Reglamento, ya que con fundamento en él se traslada la responsabilidad total a la empresa u organización que trata los datos personales. Es ella la que tendrá que diseñar, de acuerdo con sus necesidades y modelo de negocio, el esquema de seguridad y protección de datos que mitigue las brechas de seguridad, protegiendo la integridad y confidencialidad de los datos personales objeto de tratamiento.
2. Desaparece la estructura de declaración de ficheros y del documento de seguridad. El enfoque de protección de datos se centra en que el modelo de negocio o proyecto incluya, desde la fase incipiente del diseño, las medidas de seguridad y privacidad que garanticen el tratamiento de los datos atendiendo los estándares del nuevo RGPD. Esto es lo que se conoce como el privacy by designe or by default.
3. Aparecen nuevos derechos para los titulares de los datos y se reformulan los derechos ya existentes.En la anterior normativa estos derechos eran identificados como derechos ARCO: acceso, rectificación, cancelación y oposición. El RGPD reformula dichos derechos en su definición y alcance, tal como se indica en la infografía publicada por la Agencia Española de Protección de Datos (AGPD). Es de resaltar que en este catálogo de derechos se adicionan los derechos de: portabilidad, limitación al tratamiento y que explicaré en detalle en el siguiente post.
4. Aparecen nuevas obligaciones que deben cumplir los responsables del tratamiento de datos personales:
a) Se exige al responsable del tratamiento la obligación de recabar el consentimiento claro y diferenciado por parte del titular de los datos. Lo anterior implica que el consentimiento debe ser obtenido de forma expresa (por escrito) y cada tratamiento de datos requiere la autorización por separado de su titular. Por ejemplo, si la empresa desea utilizar los datos de sus clientes para ejecutar la prestación del servicio y además para enviarles publicidad o newsletters, deberá obtener para cada tratamiento una autorización por separado.
b) El responsable del tratamiento de los datos debe verificar que sus colaboradores ( denominados Encargados del Tratamiento) cumplan con el RGPD: medidas de seguridad, control de riesgos, cumplimiento de derechos de los interesados, protocolos y documentación concordante con las nuevas exigencias normativas.
c) Cambian las categorías de los datos. En la anterior normativa teníamos la clasificación de nivel de seguridad bajo, medio y alto. El RGPD elimina los niveles y simplemente hace una lista de datos denominados datos sensibles o especialmente protegidos. Dentro de dicha denominación incluye los datos biométricos, genéticos y de orientación sexual e incluye los datos denominados como altos en la anterior normativa: datos relacionados con origen racial o étnico, salud, ideología, religión, política, afiliación sindical, vida.
En principio recoger y tratar estos datos está totalmente prohibido. No obstante, la normativa incluye la excepción en el tratamiento cuando se obtiene consentimiento explícito por parte del titular y la validez queda condicionada a que el responsable de los datos informe y recoja ese consentimiento indicando la finalidad especifica del tratamiento. En este caso, se recomienda obtener un consentimiento explícito para cada finalidad.
5. Deber de informar. El deber de informar aparece mencionado a lo largo del RGPD. El Grupo Europeo del Artículo 29 (WP29) ha emitido la guía del consentimiento, expedida el 10 de abril de 2018, donde se indica la forma en que se ha de obtener el consentimiento y ajustándose a lo indicado en el RGPD.
6. Se endurece el régimen sancionador con un nuevo esquema de multas. Es importante que las empresas u organizaciones tomen conciencia de estos nuevos importes sancionatorios. En este caso es más rentable pagar la asesoría especializada en la implantación del nuevo RGPD que afrontar el coste de una multa por incumplimiento de RGPD.
El Reglamento como tal no establece un rango mínimo o importe para las sanciones leves. En cambio, las sanciones graves las ha aumentado hasta 10.000.000 € o, en el caso de empresas, de cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior (lo que resulte mayor en cuantía). Finalmente, para las sanciones graves ha fijado como tope la multa de hasta 20.000.000€ o, en el caso de empresas, de cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
II. ¿Qué actividades debes realizar?
1. Lo primero es validar si tu empresa requiere un Delegado de Protección de Datos. El artículo 37 del RGPD menciona tres supuestos: (i) autoridad u organismo público, (ii) cuando la actividad principal del responsable es la operación de tratamiento de datos regular, sistemático y a gran escala y (iii) cuando el responsable tenga como actividad principal el tratamiento a gran escala de categorías especiales de datos.
2. Debes realizar un registro de tratamiento; esto es lo que vendría a reemplazar los ficheros en la antigua Ley Orgánica de Protección de Datos. Debes indicar el tratamiento de datos que vas a realizar, su finalidad y la base jurídica aplicable.
3. Debes realizar un Análisis de Riesgos en función de cada tratamiento de datos que haga cada empresa u organización. En este documento se han de analizar la probabilidad de existencia o de ocurrencia de los riesgos y las medidas de seguridad aplicables que mitiguen dichos riesgos y que garanticen los derechos de los titulares de los datos.
4. Debes implementar las medidas de seguridad indicadas en el Análisis de Riesgos.
5. Debes realizar una Evaluación de Impacto cuando la empresa u organización haga: (i) un movimiento a gran escala de datos especialmente protegidos, (ii) evaluación sistemática de los datos o (iii) uso de tecnologías invasivas. En este texto recogerás los riesgos del tratamiento y describirás las medidas que te permitan controlar y mitigar dichos riesgos.
6. Finalmente debes: (i) adecuar los formularios de recogida (aplicando el Derecho de Información) de tu empresa, (ii) adoptar los mecanismos y procedimientos que permitan el ejercicio de los derechos de los titulares de los datos (tus clientes), (iii) revisar si los contratos suscritos con los Encargados del Tratamiento (gestorías, servicios de hosting, icloud, agencia de marketing, etc) están adaptados al RGPD y si ofrecen garantías de cumplimiento y, (iv) actualizar los avisos de tu web (política de privacidad) en el caso de que tengas presencia online.
Si tienes dudas al respecto o necesitas asesoría con el cumplimiento del RGPD, no dudes en contactarme a través del correo: ana.vega@icab.cat