Sobre la “Nueva Ley de Protección de Datos”

Seguro que has oído hablar de la “Nueva Ley de Protección de Datos“. Realmente, no es una nueva Ley, sino un nuevo reglamento; y tampoco es realmente nuevo, pues es de 2016… En este artículo no nos vamos a parar en los aspectos jurídicos, tienes mucha información al respecto en Google. Pretendemos explicar algunos puntos clave, clarificar ciertas dudas y desmentir determinadas falsedades de empresas que se intentan aprovechar de tu falta de conocimiento al respecto.

¿Qué es la “Nueva Ley de Protección de Datos”?

Como comentaba en el encabezado, la nueva ley hace en realidad referencia al Reglamento General de Protección de Datos (RGPD, también conocido como Reglamento Europeo). Su “nombre” legal: REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO. Este fue aprobado el pasado 25 de Mayo de 2016, estableciendo un plazo de 2 años para que los Responsables (autónomos, empresas, asociaciones…) se fueran adaptando. Por tanto, el RGPD ya está en vigor desde entonces, siendo obligatorio a partir del 25 de Mayo de 2018.

Además, el pasado 17 de Noviembre se aprobó la “actualización” de la LOPD, que regula el cumplimiento del RGPD en España, y que también será obligatoria a partir del 25 de Mayo de 2018.

¿Qué implicaciones tiene para mí o mi empresa?

Pues bastantes, ya que cambia (casi) TODO:

• Cambia la filosofía. Antes la LOPD te decía lo que tenías que hacer, y tú lo hacías o te podían multar. Con el RGPD la protección de datos se lleva al inicio de la actividad. De hecho, es uno de los nuevos principios: protección de datos por defecto y desde el diseño. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos.
• Cambian los derechos de los afectados. Además de los derechos habituales ARCO (acceso, rectificación, cancelación -ahora supresión- y oposición -ahora limitación-), surge el derecho al olvido (revocación del consentimiento para el tratamiento de datos, pudiendo exigir su eliminación en redes sociales o buscadores) y el de portabilidad de los datos (se podrá solicitar la transferencia de los datos de un proveedor de servicios en Internet a otro). Los nuevos derechos, por supuesto, suponen nuevas obligaciones para ciertas empresas.
• Surgen nuevas figuras, como el Delegado de Protección de Datos (DPO por sus iniciales en inglés), que es la persona, interna o externa, que asista a las organizaciones en el proceso de cumplimiento normativo.
• Cambia la documentación. Las cláusulas (por ejemplo de obtención del consentimiento) y contratos (siendo el más habitual el del Encargado del Tratamiento) serán mucho más complejos, ya que deberán incluir obligatoriamente una serie de información adicional que ahora no incluyen. Por ejemplo, la información que debía tener una cláusula legal en materia de protección de datos debe ser, como mínimo la siguiente: finalidad, destinatarios de los ficheros, obligación o no de la entrega de datos y sus consecuencias, derechos del interesado (los comentados en el punto anterior) y la identidad del responsable. Ahora, además, tendrá que informar de: la base jurídica, el tiempo máximo de tratamiento, la identificación del DPO (si procede), si existen transferencias internacionales (fuera de la UE), el derecho a presentar una reclamación (se habilita una ventanilla única europea, por cierto) y si existen o no decisiones automatizadas sobre el tratamiento de los datos.
• Cambian los trámites administrativos. Ya no habrá que inscribir Ficheros en la AEPD, sino registrar Tratamientos. Esto es mucho más dinámico… pero a nivel práctico es posible que conlleve una carga administrativa superior.
• Aumentan las sanciones, que ahora serán de hasta 20 millones de euros o un 4% de la cifra de negocio. Es decir, las sanciones máximas se multiplican por más de 30… Por tanto, se hace aún más imprescindible el cumplimiento de esta normativa.
• Etc. Un extenso etc.

No nos vamos a extender demasiado en esto, pues realmente tampoco te interesan los detalles técnicos o jurídicos. La idea principal con la que queremos que te quedes es que todo va a cambiar, y que, sí o sí, debes cumplir la LOPD/RGPD (y hacerlo bien, claro).

Dudas y mitos acerca del RGPD

Aprovechándose de la ignorancia en temas legales (que lógicamente no tienes por qué tener, para eso estamos los especialistas en ello), muchas empresas están haciendo su particular agosto con esto de la nueva ley. A continuación te escribimos algunas de las dudas típicas que nos han consultado algunos de nuestros clientes, e intentaremos clarificar algunos mitos y falsedades. ¡Que no te engañen!

¿Tengo que cumplir el RGPD?

Sí, al igual que la LOPD. Siempre que trates datos personales, claro. Es decir, si estás leyendo esto, casi con total seguridad, ya que tratarás datos de clientes, usuarios web, empleados, videocámaras…

¿Tengo que estar adaptado antes del 1 de Enero?

No, pese a que te haya llegado publicidad engañosa, debes adaptarte antes del 25 de Mayo de 2018, no del 1 de Enero.

Por supuesto, te recomendamos no esperar al último día. Si eres cliente nuestro, te iremos enviando notificaciones e iremos modificando la documentación de manera gradual para que todo esté listo mucho antes de la fecha límite. Si aún no lo eres, te aconsejamos que lo empieces a gestionar en las próximas semanas, poniéndote como fecha límite en Marzo, como muy tarde. No vaya a ser que te pille el toro…

Me han dicho que tengo que tener un delegado de protección de datos (DPO)

No es cierto. No todas las empresas tienen que tener un DPO, solo las que:

• Lleven a cabo una observación habitual y sistemática de interesados.
• Traten a gran escala categorías especiales de datos (datos especialmente protegidos, como salud, religión…).

Si no es tu caso, no tienes por qué tener un DPO en tu empresa. Sin embargo, eso no implica que no tengas por qué tenerlo. Puedes valorar contar con esta figura para la gestión y el control de la protección de datos dentro de la empresa y cómo actuar como punto de contacto entre ésta y la AEPD, que seguirá siendo el organismo de control.

Mi DPO será mi administrativo que sabe mucho de ordenadores y le hago un cursillo de formación

Desde ExpertosLOPD® recomendamos apostar siempre por tener personal bien formado, pero no es obligatoria formación al respecto (y menos los típicos cursos online gratuitos o subvencionados). Es decir, el DPO no tiene por qué ser abogado ni tener un máster en protección de datos u otro certificado similar (de hecho, ni siquiera tiene que ser una persona de la empresa), aunque lo más habitual es que se nombre DPO a un profesional licenciado o graduado en Derecho y con amplia experiencia en protección de datos.

Dicho de otra forma, el DPO debe tener conocimientos jurídicos y prácticos suficientes para poder ejercer como tal. Si tu administrativo (o quién sea) los tiene, perfecto. Si no… las multas son millonarias.

Recomendamos que esta tarea (que, recordemos, es sumamente técnica y con bastantes aristas) sea desarrollada por abogados o consultores especializados, como podemos serlo nosotros.

Me han dicho que es igual que la LOPD, que solo hay que cambiar 4 cosas

El RGPD “solo” es una norma mucho más compleja a la LOPD, con requisitos mucho más restrictivos. Todo cambia, como hemos comentado, así que cuidado con la afirmación de que es básicamente lo mismo: realmente te están diciendo que no tienen ni idea.

Conclusión

Aunque quedan unos pocos meses para que sea obligatorio el RGPD, aún queda mucho por hacer. Los Estados Miembros, las autoridades de control, el Comité Europeo de Protección de Datos y la Comisión deberán precisar muchos elementos que aparecen en el RGPD todavía demasiado ambiguos o inconcretos.

A pesar de ello, la realidad es que toda persona o empresa que trate datos personales debe cumplir con esta normativa. No te dejes engañar con cursos de formación o contratación de DPOs que no necesitas, pero tampoco dejes este tema de lado ni para el último día.

Si deseas asesoramiento profesional para el cumplimiento de la “nueva Ley de protección de Datos” (RGPD), contacta con ExpertosLOPD®. Hacemos decenas de adaptaciones cada semana, más de 1.000 en los últimos 3 años.