Cómo cumplir el RGPD (I)
CÓMO PREPARARSE PARA EL CUMPLIMIENTO DEL RGPDEl Reglamento General de la Protección de Datos (RGPD) supone el cambio más significativo de la normativa de protección de datos dentro de la UE pero, a nivel global, supone el cambio más importante de los últimos años en la materia.
A través de este post y los siguientes, vamos a mostrarle los aspectos más importantes a tener en cuenta de cara a la inmenente aplicación del Reglamento General de Protección de Datos el próximo 25 de mayo.
INTRODUCCIÓN
El Reglamento General de Protección de Datos (RGPD o por sus siglas en inglés GDPR) se aprobó en abril de 2016 y entró en vigor el 25 de mayo del mismo año, aunque se aplicará de forma definitiva a partir del 25 de mayo de 2018.
Viene a sustituir a las 28 leyes de protección de datos nacionales existentes, incluida nuestra LOPD 15/1999, y a la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
El Reglamento (UE) 2016/679 introduce importantes avances en lo relacionado con el panorama digital actual y cumple dos propósitos:
- Mejorar la confianza del consumidor en las organizaciones que tratan, archivan y procesan sus datos personales, reforzando sus derechos de privacidad y seguridad en toda la UE.
- Simplificar el libre flujo de datos personales en la UE mediante un marco sistemático y coherente de protección de datos en todos los estados miembros.
El RGPD no va a cambiar de base ninguna normativa de protección de datos sino que viene a ampliar los requisitos de la Directiva 95/46/CE al introducir unas nuevas obligaciones para apoyar a las normativas vigentes, actualizando su contenido, sobre todo en cuanto al tratamiento globalizado de los datos.
Algunas de estas nuevas obligaciones ya se utilizan en algunos estados miembros. Por ejemplo, en Alemania ya existe la obligación de nombrar delegados de protección de datos, mantiene el concepto de "seudonimización" de datos o aplica requisitos más estrictos para los contratos con terceros que acceden a datos, pero en general estas normas son nuevas para la mayoría.
DEFINICIONES MÁS IMPORTANTES:
- «Datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
- «Responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
- «Encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
- «Destinatario»: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento.
- «Tercero»: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado.
- « Consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
- «Violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
ADAPTARSE YA ES UN TEMA URGENTE
Todas las empresas, profesionales, autónomos, asociaciones, comunidades y cualquier otra entidad que trate o comparta datos personales, tiene que cumplir el RGPD, pero ya solo quedan 3 meses para su aplicación por lo que, si aún no ha empezado a trabajar en ello, deberá tomar ya medidas urgentes.
Hemos dispuesto de dos años de moratoria para prepararnos, revisar qué datos tratamos y revisar los riesgos que puede haber en esos tratamientos, adaptando nuestros procesos y la propia estructura de la empresa para cumplir con los nuevos requisitos y ello supone, en muchas ocasiones, cambios muy importantes. Debe tener en cuenta que todas las organizaciones de la UE van a tener que afrontar estos cambios sujetos a la misma agenda y que ya escasean las consultorías cualificadas.
Tendemos a ver el cumplimiento normativo como una carga administrativa pero, seguir sin cumplir con las normativas de protección de datos o hacerlo mal puede suponer a su organización unas sanciones mucho más cuantiosas que las actuales: multas administrativas de hasta el 4% de su facturación global o 20 millones, la que resulte mayor de las dos.
En cambio, las empresas que están dedicando tiempo y recursos para prepararse adecuadamente para cumplir el RGPD, no solo evitarán las cuantiosas sanciones y el daño de su reputación empresarial, sino que también saldrán reforzadas en cuanto al tratamiento de sus datos, la seguridad de la información y las relaciones con sus clientes y proveedores serán más sólidas y fiables.