Qué necesitas saber sobre LOPD y RGPD
En mayo de 2018, se auguraban cambios en la ley de protección de datos. Entró en vigor el RGPD 2016/679 de 27 de abril de 2016, el nuevo Reglamento Europeo de Protección de Datos.
¿Qué es la ley de protección de datos?
La agencia española de protección de datos con la LOPD regula la obligación de garantizar la seguridad de los datos personales en cualquier tipo de proceso.
El objeto de la misma es proteger y garantizar las libertades públicas, los derechos fundamentales y, sobre todo, la integridad y el honor tanto familiar como personal.
¿Quién está obligado a cumplir la ley de protección de datos?
Atendiendo a el RGPD y a la LOPD las sociedades mercantiles, los organismos públicos, las comunidades de bienes, autónomos, asociaciones, administraciones públicas, entidades sin ánimo de lucro y comunidades de propietarios tienen la obligación de cumplir con la normativa vigente en materia de protección de datos. Es decir, cualquier empresa privada o pública y todas las personas que usen cualquier dato personal durante el transcurso de su actividad profesional.
¿Qué es un dato personal?
Un dato personal es aquella información mediante la cual se te puede identificar. La ley será de aplicación en los supuestos siguientes:
1. Que el tratamiento de datos se realice en territorio español dentro de un marco de actividades establecidas según el responsable del tratamiento.
2. Que el responsable del tratamiento no esté establecido en territorio español, pero le sea de aplicación la legislación española en cumplimiento de la norma de Derecho Internacional Público.
3. Que el responsable del tratamiento no pertenezca a la UE pero utilice para tratamiento de datos recursos situados en territorio español, a excepción de que esos recursos se consideren con fines de tránsito.
¿Cómo cumplir el Reglamento europeo de protección de datos?
Para adecuar la actividad de una organización a la nueva regulación debes conocer las novedades frente a la antigua LOPD y seguir las siguientes recomendaciones:
1. Comunicar fallos de seguridad. Será competencia del responsable de ficheros trasladar la información a la AEPD en un máximo de 72 horas.
2. Obtener el consentimiento para tratar los datos. Con la LOPD el consentimiento podía ser tácito, pero ahora debe existir una declaración expresa del interesado o una acción por su parte que ratifique su conformidad. Por lo tanto, una casilla premarcada o la inacción no constituyen un consentimiento.
3. Privacidad, esquemas de certificación y código de conducta. Todo esto que no estaba regulado ahora requiere la responsabilidad proactiva del cumplimiento normativo, y se establece la privacidad desde el diseño hasta el tratamiento de los datos mediante mecanismos efectivos de verificación del cumplimiento.
4. Registro del tratamiento de datos que no se contemplaba en la LOPD. Ahora es necesario tener un registro de actividades de tratamiento efectuadas bajo tu responsabilidad. Se han de incluir los datos que se tratan, los destinatarios de los mismos, plazos para la supresión y la finalidad del mismo, así como las medidas de seguridad y técnicas adoptadas para el tratamiento.
5. Derechos de los interesados en materia de ARCO: acceso, rectificación, cancelación y oposición a los que el RGPD incluye supresión, portabilidad, limitación y transparencia de la información.
6. Delegado de protección de datos. Se hablaba de un responsable de seguridad, pero ahora el DPO asume mayores competencias para el control y coordinación del cumplimiento de la normativa.
7. Deber de información de la recogida de datos, el destinatario de la información, el período de conservación y la finalidad de los mismos. Si los datos se obtienen de un tercero, el responsable del tratamiento ya no dispone de 3 meses sino de 1 para informar al interesado de la procedencia de los datos.
8. Seguridad. Desaparece la clasificación media, alta o básica de los ficheros y se abre paso a las medidas técnicas y organizativas más apropiadas.
9. Evaluar el impacto de los datos personales que no se regulaba en la LOPD.
Diferencias principales entre RGPD y LOPD?
El nuevo reglamento europeo de protección de datos establece una serie de derechos y obligaciones tanto para los afectados como para las empresas en el marco de la protección de datos. Según la nueva normativa los nuevos pasos a seguir son:
Firmar contratos con terceros.
– Solicitar el consentimiento a tus clientes.
– Realizar un registro de actividades de tratamiento, lo que sustituye a la obligación de la LOPD de inscribir los ficheros en la agencia española de protección de datos.
– Analizar los riesgos y en caso de que exista un alto riesgo, evaluar el impacto.
– Firmar los contratos con los empleados.
– Incluir los textos legales en una página web.
– Notificar las brechas de seguridad.
– Facilitar los derechos de los usuarios que ahora se amplían a los ya conocidos por la LOPD, los referentes al olvido y a la portabilidad.
– Nombrar a un delegado de protección de datos.
La ley de protección de datos ha necesitado un par de años para adecuarse a la nueva reglamentación que comenzó su aplicación en 2018, por lo tanto, las empresas que no la cumplan estarán sujetas a importantes sanciones administrativas y económicas.