Blog Asepeyo

¿Qué supone para tu empresa el nuevo reglamento de protección de datos?

El próximo 25 de mayo la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), quedará desplazada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 en lo que hace referencia a la protección de las personas físicas en el tratamiento de datos personales (RGPD). Este nuevo reglamento se aplicará de manera uniforme a los 28 estados de la Unión Europea.

El derecho a la protección de datos es un derecho fundamental, incluido en el artículo 18.4 de la Constitución, y no se limita únicamente a los datos íntimos de la persona, sino que garantiza a la persona un poder de decisión sobre sus propios datos personales, sean o no íntimos.

No es una novedad del RGPD que para que el tratamiento de datos sea lícito será necesario el consentimiento del interesado, o bien que el tratamiento sea necesario para ejecutar un contrato en el que el interesado sea parte, o para proteger los intereses vitales del propio interesado, entre otros supuestos que ya estaban previstos en la LOPD.

El RGPD aclara que el consentimiento debe consistir en una declaración o una clara acción afirmativa, de modo que la inacción por parte del interesado o las casillas premarcadas no pueden entenderse por suficientes a estos efectos.

También prevé que el consentimiento debe prestarse para cada uno de los fines del tratamiento. De este modo, la utilización para fines distintos de los datos personales que han sido recabados para la gestión de ciertas acciones, requiere el consentimiento del interesado.

Tampoco es novedad del RGPD que los datos relativos a la salud sean categorías especiales de datos; antes, datos especialmente protegidos. El RGPD mantiene igualmente los derechos de información, tanto al interesado, en la recogida de datos, como cuando los datos no hayan sido obtenidos del propio interesado.

Responsabilidad proactiva

No obstante, el cambio más relevante que introduce el RGPD es el llamado principio de “responsabilidad proactiva”. El deber de seguridad de los datos ya existía con la LOPD; sin embargo, el modelo de cumplimiento que se preveía en su reglamento de desarrollo se basaba en la definición de niveles y medidas de seguridad según la tipología de los datos.

Con el RGPD corresponde a cada responsable del tratamiento establecer los niveles de seguridad adecuados en función del riesgo. Esto repercute también en los proveedores, con quienes el responsable del tratamiento deberá establecer las medidas de seguridad aplicables en el contrato de encargado del tratamiento.

Desaparece la obligación de notificar los ficheros de datos a la Agencia Española de Protección de Datos (AEPD), pero deberá llevarse un registro de tratamientos de datos personales y notificarse a este organismo y a los propios interesados las brechas de seguridad, en un plazo máximo de 72 horas.

Asimismo, entre otros supuestos, en la medida que los tratamientos afecten a categorías especiales de datos, como son los datos relativos a la salud, el responsable del tratamiento deberá designar un delegado de protección de datos (DPD). Su función consistirá en supervisar el cumplimiento de la normativa en materia de protección de datos, y, antes de cada nuevo tratamiento o modificación de los tratamientos preexistentes, deberá realizar una evaluación de impacto, las llamadas PIAS.

Protección de datos desde el diseño y por defecto

En el nuevo Reglamento se establecen también las obligaciones de protección de datos desde el diseño y por defecto (privacy by design y privacy by default), con las que se pretende, en resumen, que los principios de la protección de datos constituyan aspectos inherentes de los procesos propios del negocio del responsable del tratamiento.

En suma, frente a un modelo de cumplimiento fundamentalmente exógeno, en el cual los responsables del tratamiento auguraban un cumplimiento adecuado de la normativa de protección de datos cumpliendo con las medidas de seguridad reglamentariamente establecidas para cada tratamiento o tipo de datos, con el RGPD son los propios responsables quienes se convierten en garantes de la protección de datos de carácter personal, asumiendo la siguientes obligaciones:

  • Dotarse de aquellas medidas que sean adecuadas para esa finalidad
  • Adoptar la perspectiva de protección del dato en sus procesos
  • Asegurar el cumplimiento de las medidas establecidas
  • Comunicar las brechas de seguridad que pudieran darse

Por tanto, el RGPD es una norma menos reglamentista, pero en absoluto menos exigente.

En cuanto a las sanciones por incumplimiento, también hay importantes modificaciones, tanto por la cuantía máxima de las sanciones, que pasa de 600.000 euros a 20 millones de euros, o el 4% de la facturación del último ejercicio cerrado, como por la definición de las infracciones, mucho más generalista.

En todas las empresas se tratan datos personales. Pero con la creciente digitalización de los procesos productivos y de prestación de servicios, la protección de los datos pasa a ser un aspecto central y su cumplimiento, tal como está diseñado el nuevo RGPD, deberá internalizarse por cada empresa dentro de sus procedimientos de negocio, porque solo así podrá lograrse una protección efectiva.


Comité de protección de datos y seguridad de la información de Asepeyo

Te puede interesar