El RGPD y la “nueva LOPD”

Hace unos meses escribimos en este blog una publicación acerca del Reglamento General de Protección de Datos (RGPD), también conocido como Reglamento Europeo o “Nueva Ley de Protección de Datos“. Aclarábamos algunos puntos clave, ciertas dudas y determinadas falsedades de otras empresas.

Sin embargo, cuando publicamos el artículo, en Diciembre de 2017, no nos imaginábamos que, a falta de unas pocas semanas para la obligatoriedad del RGPD, la situación jurídica fuera la actual. Te la explicamos.

¿Qué es el RGPD?

Supongo que a estas alturas ya lo sabrás: el RGPD hace referencia al Reglamento General de Protección de Datos, que está en vigor desde 2016, siendo obligatorio su cumplimiento a partir del 25 de Mayo de 2018. El RGPD también es conocido como Reglamento Europeo, ya que afecta a todos los países de la UE, aunque la aplicación de esta norma en cada uno de los Estados miembros requiere de un desarrollo normativo interno, como veremos a continuación.

Como comentamos en su momento, el RGPD da un vuelco al concepto de protección de datos, incluyendo numerosas novedades:

• Cambio de filosofía: no medidas correctivas, sino preventivas (desde el diseño y por defecto).
• Más derechos para los afectados: además de los conocidos, se unen el derecho al olvido y a la portabilidad.
• Delegado de Protección de Datos (DPD, o DPO por sus siglas en inglés).
• Nueva documentación, con cambios en cláusulas y contratos.
• Cambio de trámites administrativos: se eliminan los Ficheros NOTA, surgen los Tratamientos.
• Sanciones más abultadas, etc.

RGPD y algunos conceptos ambiguos

Hay muchos conceptos que los explica de manera ambigua. Y son conceptos importantes. Por ejemplo, en el RGPD se habla del DPO, quién es, qué formación debe tener (o no), funciones, etc. Todo eso está claro pero, ¿quién debe contratar un DPO? Se indican algunos supuestos en el RGPD, pero son poco claros: organismos públicos (aquí no hay duda) y para aquellas organizaciones cuya actividad principal “requiera de una observación habitual y sistemática de interesados a gran escala”, o “consista en el tratamiento a gran escala de categorías especiales de datos personales”. La pregunta aquí es: ¿qué es gran escala?  ¿Hay algún baremo? ¿Qué se considera habitual?

Esto es solo un ejemplo, pero es importante: va a determinar si debes tener o no un DPO en tu empresa. Como este ejemplo, hay varios puntos clave que no están suficientemente claros, y que son importantes, como quién debe pasar una evaluación de impacto, o un régimen sancionador más concreto.

RGPD + LOPD = ¿Inseguridad Jurídica?

Hay que tener en cuenta que la finalidad del RGPD no es sustituir a la LOPD. Es decir, no es que el 25 de Mayo de se derogue la LOPD y sea obligatorio el RGPD. El RGPD no es más (ni menos) que un marco común, que introduce una serie de conceptos (como el DPO), establece una serie de medidas nuevas (análisis de riesgos, evaluación de impacto), un nuevo sistema sancionador…

El que estos conceptos de los que hemos hablado estén poco claros tiene una razón de ser. Como hemos dicho, el RGPD es un marco legal para todos los países de la UE, pero luego será cada país el que, mediante regulación interna, delimite o aclare todos aquellos puntos difusos. Por tanto, en España se habría de publicar una “nueva LOPD” (que se llamará igual o parecido).

Hasta aquí, perfecto. ¿Dónde surge el problema? En que, en este país, como (casi) siempre, vamos a remolque. La “nueva LOPD” ya tendría que haber pasado todos los trámites parlamentarios para haber sido aprobada, y ser obligatoria a partir de Mayo, junto al RGPD. Sin embargo, la convulsa situación política de los últimos dos años ha provocado que el ritmo a la hora de legislar haya sido, digamos, contenido.

Pero, ¿cuál es la situación actual? Según un exdirector de la Agencia Española de Protección de Datos (AEPD), el proyecto actual ha llegado al Parlamento con los plazos para su tramitación demasiado justos. Además, ha sido necesario ampliar hasta en tres ocasiones el plazo de presentación de enmiendas. Por ello, se duda de que el proyecto pueda estar tramitado en la fecha prevista.

Así, podemos encontrarnos en Mayo en una situación de incertidumbre e seguridad jurídica importante: será obligatorio el RGPD, pero también estará vigente la “antigua” LOPD (una ley de hace casi 20 años) en todo aquello que no se oponga al citado RGPD.  Ponemos de nuevo el ejemplo de la figura del DPO, figura no prevista en la actual LOPD y no del todo regulada en el texto europeo, donde no disponer de una regulación específica podría hacer muy difícil su aplicación.

Marco de trabajo

Sabemos que a ti, como empresario/a o autónomo/a, te importan más bien poco los trámites parlamentarios. Lo que te importa es en qué afecta a tu empresa y cómo tienes que proceder para cumplir la Ley (llámese LOPD, RGPD o cualquier otra). Aquí, cada empresa de protección de datos tiene su forma de proceder.

Hay quienes llevan meses ofreciendo el servicio de readaptación completa al RGPD, a pesar de los aspectos (insistimos, aspectos clave) que todavía están el aire. En ExpertosLOPD® hemos optado por la máxima cautela y por apurar los plazos, esperando contar con un marco de mayor seguridad jurídica para que, por ejemplo:

• No te realizamos una evaluación de impacto (con el coste que ello implica) sin saber si tienes que hacerla.
• No te hagamos contratar un DPO (también con su coste asociado) sin que lo necesites.
• No generarte cargas de trabajo innecesarias, sabemos que tu tiempo es valioso.
• No generarnos cargas de trabajo innecesarias: nuestro tiempo también es valioso, y hacerlo supondría inevitablemente subida de costes y, con ella, subida de precios (algo que nos imaginamos, no te interesa que suceda).

En cualquier caso, a los que ya sois clientes, comunicaros que llevamos meses trabajando en la generación de la nueva documentación, y que en breve os informaremos de manera personalizada y detallada.

Y, si todavía no eres cliente, recuerda que nuestros servicios consisten en una adaptación combinada LOPD+RGPD, para que cumplas la normativa actual hasta el 25 de Mayo (la LOPD sigue siendo obligatoria hasta entonces, aunque falten un par de meses o menos) y el RGPD a partir de esa fecha.

Contacta con ExpertosLOPD® para obtener un asesoramiento profesional (y sincero) acerca de la LOPD y del RGPD.