GDPR 2018: Qué es y cómo afecta la nueva normativa en España

A estas alturas ya habrás oído el término GDPR en multitud de ocasiones y habrás recibido al menos una decena de emails informándote sobre la nueva legalidad y solicitando tu consentimiento expreso para enviarte comunicaciones. Pero también es posible que te estés preguntando qué es la GDPR (General Data Protection Regulation) o RGPD (Reglamento general de protección de datos), y a qué se debe tanto alboroto, ¿puede afectarte? A continuación resolvemos todas tus dudas al respecto.

¿QUÉ ES EL GDPR?

El GDPR es el nuevo Reglamento General de Protección de  Datos de los ciudadanos que vivan en la Unión Europea, que obligará a las empresas y autónomos a cambiar el modo en que procesan la información de los clientes, otorgando mayor control a estos sobre sus datos personales, como datos de contacto, raza, orientación sexual, datos de identificación, direcciones de IP y cookies. Con el nuevo reglamento, los clientes conocerán qué hacen exactamente las empresas con su información privada. Aunque este nuevo reglamento entró en vigor el 24 de mayo de 2016, no ha sido de obligado cumplimiento hasta el pasado 25 de mayo de 2018.

¿EN QUÉ SE DIFERENCIA DEL REGLAMENTO ANTERIOR?

La primera diferencia se debe al cambio de “directiva” a “reglamento”. Hasta ahora la directiva de Protección de Datos precisaba para su exigencia, que los Estados traspusieran la norma en una ley nacional. Pero con la aprobación del nuevo reglamento ya es de ejecución directa, sin necesidad de esperar a la incorporación a través de la norma nacional, que por otro lado, en nuestro país, está aún en trámite parlamentario, y que por tanto obliga a que se mantenga en vigor la actual LOPD, hasta que no sea derogada por la nueva Ley. Por otro lado, hay más diferencias, ya que se han definido términos y procesos que no se contemplaban previamente. Este cambio afecta tanto a particulares como a empresas y a la propia Administracion Pública. A los primeros, garantizándoles la protección de su información personal, y a los demás  obligándoles a adaptarse a la nueva regulación para no sufrir las posibles consecuencias como multas económicas.

Además de ser necesario informar expresamente a la persona sobre el tratamiento de sus datos, se aprecian otras diferencias en el nuevo reglamento:

-          Se debe informar a los interesados con  qué objetivo se recopilan sus datos, es decir, el uso que va a hacerse de los mismos. Los usuarios deben de ser plenamente conscientes de este aspecto, consiguiéndose una mayor protección de su información personal.

-          Cambio de la opción  opt-out al opt-in: hasta ahora la empresa marcaba por defecto la casilla en la que se indicaba la recopilación de los datos, sin que la persona fuera plenamente consciente de que se recopilaba su información.  La GDPR marca que debe dejarse la casilla desmarcada, siendo el usuario quien indique expresamente su consentimiento para el tratamiento de sus datos. Además, los usuarios podrán retirar su consentimiento al tratamiento de su información personal cuando lo deseen, independientemente de que lo haya aceptado previamente.

-          Del mismo modo, las personas podrán tener acceso a la información que está tratando la empresa. Si hablamos de Internet, los usuarios podrán disponer de su información personal de manera clara y en formato compatible con sistemas externos a la organización.

-          El nuevo reglamento contempla además el “derecho al olvido”, de manera que la empresa deberá eliminar la información que aparece publicada sobre él  si el usuario así lo solicita.

-          A nivel de seguridad, las empresas tendrán obligación de informar en un plazo máximo de 72 horas sobre las violaciones de seguridad, en las que se considere que están afectados los derechos fundamentales de las personas físicas. En ese caso, deberán de informar tanto a las autoridades pertinentes como a sus clientes, pudiendo verse obligadas a comunicarlo también a través de los medios de comunicación.

¿A QUIÉN AFECTA?

La nueva normativa es aplicable a todas las empresas o Administraciones ubicadas en el territorio de la UE, con independencia de que presten los servicios para ciudadanos de otras áreas del mundo. Asimismo, también tienen que cumplir con el RGPD, las empresas localizadas en otras zonas geográficas fuera del ámbito de la UE, si ofrecen servicios para ciudadanos europeos.

¿QUÉ REQUISITOS SE DEBEN CUMPLIR?

Las empresas deben cumplir una serie de requisitos para estar al día con la GDPR:

-          Informar específicamente a los usuarios de la recogida de sus datos, revisando las vías de captación y adecuando estas a la nueva normativa.

-          Obtener el consentimiento previamente al tratamiento de los datos, en los casos que sea necesarios. Aunque el consentimiento es sólo una fuente de legitimación para el tratamiento de datos, existiendo otras.

-          Una vez se tiene el consentimiento y se han recopilado los datos se debe registrar las actividades que se llevan a cabo en el tratamiento de los datos.

-          Establecer procedimientos e implantar un plan de gobernanza para el tratamiento de los datos.

-          Asegurar la protección de datos de las personas, llevando a cabo las medidas necesarias para garantizar dicha seguridad.

-          Nombrar a un delegado de protección de datos para los tratamientos de datos que así lo requieran.

-          Garantizar que aquellos proveedores que manejen datos personales cumplen con la GDPR, teniendo un contrato con ellos, que así les vinculen.

-          Proporcionar a los usuarios una copia de su información personal en caso de que la requieran.

-          Aquellas empresas que realicen tratamientos de datos que puedan suponer un elevado riesgo para la protección de los mismos deberán además realizar evaluaciones de impacto.

¿QUÉ SANCIONES IMPLICA EL INCUMPLIMIENTO DE LA GDPR?

El artículo 77 de la GDPR reconoce el derecho a presentar una reclamación ante una autoridad de control en caso de que se considere que se infringe el reglamento de tratamiento de datos. Así mismo, el artículo 83 de la misma ley establece las condiciones generales y criterios para la imposición de multas, distinguiendo 2 rangos de sanciones: graves y muy graves.

-           Las sanciones graves, contemplan infracciones relacionadas con las obligaciones del responsable y el encargado, las obligaciones de las autoridades de certificación y las obligaciones del organismo de control.

-          Las sanciones muy graves, que se aplicarán al infringirse los principios básicos del tratamiento, los derechos de los afectados y las transferencias de datos personales a un destinatario situado en un tercer país o una organización internacional.

El incumplimiento de esta ley lleva asociadas diferentes posibles sanciones, siendo  el máximo económico sancionable del 4% de la facturación global anual, o de 20 millones de euros, en el caso de las infracciones de mayor gravedad. En este caso, se trataría de una sanción de “rango muy grave”. Las sanciones de “rango grave”, conllevan una multa de hasta 10.000€ o el 2% del volumen de negocio total anual.

Hasta el momento la multa máxima en incumplimiento de protección de datos no superaba los 600.000€, con la anterior normativa.

Pero el incumplimiento del nuevo reglamento no solo puede repercutir económicamente en la empresa, puede dar lugar a otra serie de consecuencias negativas, tanto a nivel reputacional como comercial. El infringimiento de la ley puede generar falta de confianza en la empresa por parte de sus clientes y stakeholders, así como publicidad negativa en medios. Es probable por tanto, que la empresa pierda clientes y volumen comercial.

¿QUÉ DEBEN HACER LAS EMPRESAS PARA ADAPTARSE?

La adaptación al cambio de normativa no es igual para todas las empresas, mientras que algunas de ellas pueden tener muchas dificultades para otras puede resultar mucho más sencillo. En este sentido influirán la actividad comercial de la empresa y el tratamiento de datos de la misma. A la hora de adaptarse al cambio las empresas deberán tener en cuenta 3 aspectos fundamentales:

-          La tipología de datos que recopilan.

-          El objeto de la adquisición de dichos datos y el tratamiento que se realizará de los mismos.

-          Lugar de almacenamiento de dicha información, así como las cesiones o transferencias internacionales que pueden llevar implícita estos tratamientos.

Tener en cuenta estos tres factores será de gran utilidad para la adaptación al cambio de reglamento de la empresa. También es recomendable evaluar las obligaciones que debe cumplir la empresa en relación a esos datos. En cualquier caso, es probable que deban redactarse las nuevas las cláusulas que se utilizan para autorizar el tratamiento de los datos, y revisar los contratos utilizados, para detectar posibles brechas de seguridad en la información.

En algunos casos, la empresa también puede verse obligada al nombramiento de un DPO.

EL DELEGADO DE PROTECCIÓN DE DATOS

Con la nueva normativa se introduce la figura del Delegado de Protección de Datos o Data Protection Officer (DPO). Esta figura es la encargada de garantizar el cumplimiento del reglamento dentro de la empresa. Esta persona podrá ser interna o externa a la compañía, pero en cualquier caso deberá tratarse de una persona, bien física o jurídica, especializada en materia de protección de datos.

¿Cuándo es obligatorio contar con un DPO?

No todas las empresas deben contar con un Delegado de Protección de Datos, pero existen algunos casos en los que es obligatorio contar con esta figura:

-          Las autoridades y organismos públicos, a excepción de aquellos tribunales que realicen función judicial.

-          Cuando las actividades de tratamiento de datos requieran supervisión regular.

-          Se realice tratamiento de datos sensibles (aquellos que por su gran relevancia e importancia para la privacidad requieren de un minucioso cuidado), categorías especiales o  relacionados con condenas o delitos penales.

¿Cuáles son sus funciones?

El DPO debe:

-          Supervisar y asegurar el cumplimiento del nuevo reglamento GDPR.

-          Poner a disposición de quienes realicen tratamiento de datos toda la información y el asesoramiento que requieran.

-          Del mismo modo deberá asesorar acerca de la evaluación del impacto que implica la protección de datos y supervisar su aplicación.

-          Ejercer de punto de contacto con las autoridades de control y cooperar con ellas.

Si tienes dudas acerca del cumplimiento de la GDPR en tu empresa, en A2 Estudio Legal ponemos a tu servicio un plan de actuación para la adecuación de tu empresa a la nueva normativa.