Nueva ley de protección de datos: RGPD

Hoy en día al crear perfiles y cuentas en las redes sociales, al comprar en tiendas online o al reservar restaurantes o alojamientos para nuestras vacaciones, registramos nuestros datos personales de forma masiva en un simple click. ¿Pero a dónde va toda esta información? ¿Qué hacen realmente las empresas con ellos? ¿Hasta dónde llega la Ley? ¿Sabes ya qué es RGPD, GDPR (en inglés)?

Últimamente no paramos de recibir mails informándonos del cambio de leyes en las políticas de las empresas, tiendas, entidades… a las que pertenecemos o estamos registrado. Eso es porqué recientemente ha pasado a ser de obligado cumplimiento el Reglamento europeo de protección de datos que entró en vigor el 24 de mayo de 2016 pero que ahora ya es aplicable obligatoriamente des del 25 de mayo de 2018. Es por eso que a partir de ahora tendremos que dar nuestro consentimiento inequívoco para que las empresas puedan usar nuestros datos si somos ciudadanos europeos.

Para dotar al usuario de mayor control sobre su información personal se ha puesto en marcha esta nueva ley, el Reglamento Europeo de Protección de Datos (RGPD), con el fin de establecer unas reglas comunes a todas las empresas establecidas o no en la Unión Europea que traten datos personales de ciudadanos europeos. Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea. Esto unifica los derechos como las obligaciones.

Este nuevo reglamento ha sustituido la Ley Orgánica de Protección de Datos (LOPD), os hablamos de ella en una antigua publicación, vigente en España des de 1999. De este modo, con esta nueva ley, los ciudadanos podrán decidir como quieren que se traten sus datos, así como la información que reciben de las empresas, a través de un conocimiento explicito.

¿Quién debe cumplir RGPD?

Esta nueva ley determina que todas las empresas, independientemente de su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Por lo tanto, Apple y Amazon, por ejemplo, también están sujetas a ella.

El responsable del área internacional de la Agencia Española de Protección de Datos (AGPD), Rafael García, asegura que GPDR da más derechos y mecanismos a los usuarios sobre sus datos. Según su valoración, hay tres ideas generales: habrá nuevas herramientas para controlar los datos (ya que la información tiene que ser más amplia, accesible, directa, comprensible y clara que lo que se hace ahora); hay nuevos derechos; y se da más poder a las agencias de protección de datos de cada país (Xataka, 2018).

“Los usuarios deben ser conscientes de que las empresas que gestionan datos tienen nuevas obligaciones», añade.

Características de la nueva ley

• Diferencias respecto a la antigua Ley Orgánica de Protección de Datos en cuanto al significado de dato personal.
• Mayor transparencia. Las empresas deben explicar a los usuarios cuando usan y por qué sus datos y pedirles permiso para así hacerlo.
• Los usuarios podrán retirar su consentimiento y eliminar la información de los servidores de empresa.
• Las empresas son responsables de su seguridad
• Aparece la figura del DPO: data protection officer o delegado de protección de datos. Es una nueva figura profesional y esencial en el nuevo reglamento dedicado a identificar todos los posibles riesgos y buscar soluciones. Por lo tanto, nace un nuevo oficio.
• Nuevos requerimientos para datos de menores. Este nuevo reglamento considera que el consentimiento parental será requerido para procesar datos de menores de 16 años en servicios online.
• Nuevas certificaciones
• Adaptación del RGPD a cada empresa. No son guías estándar sino que deberá adaptarse este reglamento a cada empresa con la ayuda de un profesional externo.

Principios del RGPD

Hay que decir que las organizaciones que en la actualidad están cumpliendo adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento. De todos modos, modifica algunos aspectos del régimen actual y contiene nuevas obligaciones (Autoridad Catalana de Protección de Datos):

• Principio de responsabilidad proactiva: consiste en la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
• El enfoque de riesgo: las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y las libertades de las personas.

Novedades del Reglamento

• El consentimiento: El RGPD estipula que el consentimiento debe darse de forma inequívoca, informada y explícita por parte del interesado para cada una de las actividades de tratamiento. Ya no se vale utilizar estrategias tácticas como las que permita la LOPD de ofrecer casillas ya marcadas. Por lo tanto, el usuario debe realizar una acción afirmativa para dar consentimiento. Se puede también retirar el consentimiento en cualquier momento.
• Nuevos derechos:
  • Derecho a la supresión o al olvido
  • Derecho a la limitación del tratamiento
  • Derecho a la portabilidad de los datos
• El principio de responsabilidad proactiva: la necesidad de que el responsable del tratamiento de los datos aplique medidas técnicas y organizativas apropiadas para poder garantizar y demostrar que el tratamiento es conforme con el Reglamento
• Responsable y delegado de la protección de datos: nuevas figuras internas responsabilizadas de la protección de datos y del buen funcionamiento del reglamento.
• Sanciones RGPD: las multas son mucho mayores que en la LOPD. Hablamos de, por ejemplo:
  • 10 millones de euros o el 2% del volumen de negocio total anual del ejercicio financiero anterior cuando se trate de una empresa.
  • 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior cuando se trate de una empresa.