El 25 de mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos, conocido como RGPD.
El RGPD es uno de los cambios normativos más importantes llevado a cabo por la Unión Europea. Este nuevo reglamento viene para reemplazar a la actual ley de protección de datos y afectará a cualquier empresa que recoja, procese o almacene datos que puedan identificar de forma directa o indirecta a una persona y que se encuentre en la Unión Europea, pero también aplica a las organizaciones fuera de esta que ofrecen servicios, monitorizan o analizan el comportamiento, etc. de personas dentro de la Unión Europea. Se basa principalmente en el derecho fundamental de cada ciudadano a la protección de su privacidad y sus datos personales
Pero, ¿están preparadas las empresas españolas ante la próxima aplicación de este nuevo marco legal? Rafael García, jefe del área de internacional de la Agencia Española de Protección de Datos (AEPD), resume la situación actual afirmando que «no estamos ni tan bien como deberíamos, ni tan mal como podríamos. El margen de tiempo de adaptación otorgado por la UE ha sido un periodo razonable y muchas empresas ya han hecho los deberes. Otras, sin embargo, están dejando esta labor para el último momento, lo que les puede acarrear ciertos problemas».
Cambios más importantes
– Consentimiento reforzado. No se permite el consentimiento tácito, lo que obliga a todas las empresas a revisar el conjunto de cláusulas y rehacerlas. Además, este consentimiento debe ser revocable en cualquier momento. Las compañías deben asegurarse de que los datos sólo están siendo empleados para los fines para los que fueron recabados.
– DPO. El ‘data protection officer’ o delegado de protección de datos es una figura esencial en el nuevo reglamento europeo. Esta persona puede formar parte de la plantilla de la empresa o ser un agente externo. Éste será la persona encargada de velar por la protección de los datos personales y tendrá que identificar todos los posibles riesgos y buscar soluciones para solventarlos.
– Comunicación de fallos. El delegado de protección de datos deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. Este experto tendrá que contar con un sistema efectivo para realizar el reporte o para comunicar el fallo a los afectados, si existiera algún riesgo para sus derechos.
– Derecho al olvido. Permite la rectificación o eliminación de los datos personales de una persona, así como la portabilidad de los mismos, esto es, el derecho a trasladar los datos a otro proveedor de servicios.
– Fin específico. Esto implica que solo podrán usar los datos recogidos de un usuario para aquello que inicialmente informabas, para nada más.
– Implementación de sistemas de cifrado y de doble factor de autenticación.
Sanciones y multas
Las empresas recolectoras de datos personales serán las encargadas de la custodia y salvaguarda de los mismos. Si no cumplen con su deber correctamente se exponen a multas por sus infracciones que pueden oscilar desde los 600.000€ hasta 10 millones de euros, o un 2% del volumen de negocio total anual del ejercicio financiero anterior para infracciones leves. En el caso de infracciones más graves, estas cifras pueden duplicarse llegando hasta 20 millones de euros o un 4% del volumen de negocio, lo que podría suponer en algunos casos incluso el cierre de la empresa.
¿Cómo sé si cumplo con el RGPD?
Debido a las altas multas por infracciones del nuevo RGPD, es muy importante asegurarnos de que nuestra empresa cumple al 100% con el nuevo reglamento.
Para ello, la Agencia Española de Protección de Datos ha puesto a disposición de todos los interesados una herramienta de ayuda para el RGPD llamada Facilita RGPD con la que podrán averiguar si su empresa cumple actualmente con el nuevo reglamento o no. Se trata de una herramienta gratuita muy fácil de usar que consiste en un formulario que debe rellenarse y que puede rellenarse en menos de 20 minutos. Al finalizar el cuestionario, la herramienta ofrece un resultado en base a las respuestas seleccionadas por el usuario. Para determinadas respuestas, la herramienta aconseja realizar un análisis de riesgos. Asimismo, la herramienta genera una serie de documentos que pueden ser de ayuda para la empresa como cláusulas informativas que debe introducir en sus formularios de recogida de datos o anexos con medidas de seguridad orientativas que se consideran mínimas.