El próximo 25 de mayo comenzará a aplicarse de forma obligatoria el nuevo Reglamento General para la Protección de Datos (RGPD), que afecta a todos los ciudadanos y empresas de la UE y sustituye nuestra actual política de Protección de Datos, contenida en la LOPD de 1999.
Esta normativa europea será de aplicación directa para todo aquel que trabaje con datos de individuos que residan en alguno de los estados miembros de la UE.
A tan solo 10 días de su aplicación, la ambigüedad del Reglamento sigue generando inseguridad y alarma entre las empresas, en especial ante el endurecimiento del régimen sancionador, que prevé multas por incumplimiento de hasta 20 millones de euros o el 4% del volumen de negocio anual global de la empresa, en los casos más graves.
Expertos en derecho de las nuevas tecnologías afirman que prácticamente todas las grandes empresas españolas estarán preparadas para su cumplimiento el próximo 25 de mayo, pero… ¿Y las PYMES? ¿Qué ocurre si aún no han tomado las medidas necesarias?
En primer lugar: que no cunda el pánico. A pesar de la alarma creada, y sobre todo en lo que a PYMES se refiere, las diferencias prácticas entre la LOPD y el RGPD no son tan grandes, y la adaptación a la nueva normativa no es tan complicada.
A continuación los cambios y novedades que consideramos más significativos para adaptarse al RGPD, y que afectan a todo tipo de empresas:
- Hay que tomar una serie de medidas de responsabilidad activa sobre los datos personales de sus clientes, como son:
- Hacer un análisis de riesgo de los datos que son objeto de tratamiento.
- Notificar las brechas de seguridad que se produzcan a la autoridad nacional de protección, en un plazo máximo de 72 horas, y también a los individuos afectados si puede suponer un riesgo mayor para sus derechos y libertades.
- El consentimiento de los titulares para acceder a sus datos debe ser claro y explícito:
- Las cláusulas para prestar el consentimiento deben estar redactadas en un lenguaje claro y llano, fácil de comprender por las personas a las que va dirigido, y deben indicar los usos que se van a dar a los datos y los derechos de los usuarios respecto a ellos.
- El consentimiento no puede ser tácito, sino que los usuarios deben aceptar expresamente el tratamiento de sus datos (ya no vale que la casilla del consentimiento esté premarcada)
- Los derechos de los interesados se van a ver ampliados y reforzados de la siguiente forma:
- Derechos de acceso: los usuarios tienen derecho a obtener una copia de los datos personales que están siendo objeto de tratamiento.
- Derecho al olvido: debe garantizarse el derecho al borrado de los datos objeto de tratamiento, si el usuario lo solicita.
- Limitaciones en el tratamiento de datos: debe limitarse a los mínimos indispensables para prestar el servicio de que se trate, y también al tiempo de prestación del mismo.
- Derecho a la portabilidad de los datos, si el cliente lo pide, de un responsable a otro y de forma fácil.
Existen otra serie de medidas que solo son de aplicación a empresas más grandes o que llevan a cabo actividades de alto riesgo para los derechos y libertades de los interesados, como contar con un Delegado de Protección de Datos en la empresa (figura de nueva creación por el RGPD) o llevar a cabo una Evaluación de Impacto sobre los riesgos en el tratamiento de datos.
En cualquier caso, en la página web de la Agencia Española de Protección de Datos, www.agpd.es, puede consultarse toda la información relativa al RGPD, así como una serie de documentos de ayuda y comprobación del cumplimiento de la nueva normativa.
Ánimo y manos a la obra, es mucho más sencillo de lo que parece 🙂