Una nueva norma de protección de datos será aplicable directamente a todas las empresas de España, de Europa y, bajo ciertos requisitos, del Mundo: Reglamento General de Protección de Datos.

En este artículo hemos recogido 6 aspectos relevantes del nuevo Reglamento General de Protección de Datos (RGPD o GDPR) que las empresas españolas deberán tener en cuenta a la hora de adecuarse a la normativa de protección de datos.

ANTES DE EMPEZAR, CUATRO ASPECTOS CLAVE:

A.- El RGPD ya está en vigor desde el 25 de mayo de 2018

• El RGPD lleva en vigor desde mayo de 2016 (art. 99 RGPD).
• El RGPD se aplico a partir del 25 de mayo de 2018 (art. 99 RGPD). A diferencia de lo que ocurre con las directivas, este reglamento se aplicará de forma directa, desde el primer momento, sobre todos los sujetos obligados privados y públicos.

B.- El RGPD será aplicable de forma simultánea a la LOPD

Desde el 25 de mayo de 2018, el nuevo RGPD europeo se aplico en España de manera simultánea al resto de normas en materia de protección de datos: LOPD + RGPD.

En tanto en cuanto no contravengan lo establecido en el RGPD, se deberá aplicar también la legislación estatal y autonómica sobre protección de datos (incluidos la LOPD y su Reglamento -RD 1720/2007-); la estatal conexa; y todo lo derivado de las interpretaciones sobre las que se apoyan las resoluciones, los informes y las recomendaciones de la AEPD y las sentencias emanadas de la vía judicial.

C.- Las empresas españolas están obligadas a cumplir el RGPD

Si tu empresa es española, sí está obligada. En otros casos, dependerá del encaje que tenga en los sujetos obligados del artículo 3 del RGPD.

Los sujetos obligados a cumplir este reglamento son, entre otros, los siguientes: las sociedades, los autónomos, las comunidades, las asociaciones y la Administración Pública en todos los Estados miembros de la Unión Europea (Unión); y, si estuvieran fuera de la Unión, los encargados del tratamiento para sujetos obligados y aquellos, sean encargados o responsables, que dirijan sus servicios hacia residentes en la Unión.

Artículo 3 RGPD – Ámbito territorial

1.   El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

2.   El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

3.   El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

D.- En caso de incumplimiento del Reglamento, ¿a cuánto ascienden las multas?

El RGPD establece, optándose por la de mayor cuantía, multas administrativas (art. 83 RGPD):

• de 20 000 000 EUR como máximo
• de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tratándose de una empresa.

La decisión de cumplir la norma debe estar basada siempre en el respeto por los derechos de nuestros clientes, contactos, empleados y demás personas físicas.

Para cumplir con el reglamento, centrándonos en el caso de las empresas, deben ser tenidas en cuenta las nuevas exigencias entre las que destacamos las seis siguientes:

1.- ANÁLISIS DE PROTECCIÓN DE DATOS LEGAL + INFORMÁTICA

Debe auditarse el estado en el que se encuentra el cumplimiento de la normativa de protección de datos en la empresa. Esta auditoría ha de realizarse antes de actualizar las políticas, los protocolos y los textos relativos al tratamiento de datos personales.

El equipo auditor debe estar formado por profesionales del ámbito jurídico e informático. El RGPD, en su artículo 25, determina qué tipo de medidas técnicas y organizativas se deben implementar, retirando el listado tradicional de la LOPD e imponiendo uno que debe ser creado de forma personalizada para cada empresa. Así pues, para dar cumplimiento a la norma, el equipo auditor debe estar formado por:

• Profesionales con conocimientos jurídicos especializados en protección de datos.
• Profesionales informáticos con conocimientos especializados en seguridad informática.

Una auditoría (interna o externa) correcta de protección de datos exige contar con perfiles informáticos, no bastando con que el jurista tenga un blog, lea revistas de hackers o sepa usar clientes SSH. El personal contratado debe ser informático y tener conocimientos teóricos y prácticos actualizados de seguridad informática para poder auditar de forma real los sistemas.

Para ayudar a cumplir mejor el RGPD, la AEPD ha publicado este documento: Guía del Reglamento General de Protección de Datos para responsables de tratamiento.

Recomendación: Auditar, con un equipo de profesionales jurídicos e informáticos, y documentar el cumplimiento de la normativa de protección de datos, en relación con el RGPD, antes de iniciar operaciones de adecuación al Reglamento.

2.- DEBER DE INFORMACIÓN

El RGPD amplía la información que debe ser comunicada en el momento de recabar datos personales.

Con la antigua LOPD, los datos que -aún, a día de hoy- deben ser facilitados son los siguientes (art. 5 LOPD):

• finalidad
• destinatarios ficheros
• obligación o no de la entrega y sus consecuencias
• los derechos del interesado
• la identidad del responsable

A los anteriores indicados, con el RGPD se suman los siguientes (art. 13 RGPD):

• la base jurídica del tratamiento
• el tiempo máximo que se mantendrán los datos
• la identificación, si procede, del Delegado de Protección de datos
• si habrá o no trasferencia internacional de datos
• el derecho a presentar una reclamación
• la existencia o no de decisiones automatizadas.

En relación con los derechos conocidos por el acrónimo ARCO, el RGPD los cambia y actualiza. Los nuevos ARCO, sobre los que hay que informar, ahora son los derechos siguientes: acceso, rectificación, supresión, limitación, portabilidad, y oposición.

Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Guía para el cumplimiento del deber de informar.

Recomendación: Leer la Guía para el cumplimiento del deber de informar, de la AEPD. A continuación, editar primero los avisos de privacidad de la web de la empresa para adaptarlos al RGPD con el fin de adquirir soltura . De esta forma, al incluirlos en contratos y formularios se hará de forma más natural.

3.- CONTRATOS DE ENCARGADO DEL TRATAMIENTO

Los Contratos de Encargados del Tratamiento, que las empresas mantienen con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con el RGPD.

El contrato tiene que constar por escrito y deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.

Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

Recomendación: Empezar a usar el modelo de contrato incluido en el anexo de las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento, de la AEPD. Se debe mejorar y personalizar este documento para adaptarlo al caso concreto.

4.- ANÁLISIS DE RIESGO

Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse las medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad y al aumento de los delitos informáticos, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas y siempre que cambien circunstancias tecnológicas tanto en la empresa como en el sector informático.

La LOPD recogía una serie de medidas de seguridad que debían ser implementadas y aplicadas por las empresas que tratasen datos personales en función del tipo de datos o de su tratamiento.

El RGPD desplaza a las empresas la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo. Los artículos 25 y 32 del RGPD recogen que las medidas de seguridad tendrán que ser adecuadas al riesgo que exista sobre los distintos ficheros, por lo que se hará necesario que las empresas lleven a cabo un análisis de riesgo.

Para ayudar a entender qué tipos de empresas están obligadas a cifrar en España, Abanlex y ESET hemos publicado este documento: Guía sobre el Reglamento General de Protección de Datos.

Recomendación: Realizar y documentar un análisis de riesgo con profesionales informáticos internos o externos. Para el seguimiento, nombrar a un responsable interno y contratar un servicio externo de resolución de consultas concretas legales y de seguridad informática.

5.- EVALUACIÓN DE IMPACTO

Determinadas empresas deberán evaluar el impacto que los tratamientos de datos que realizan tienen sobre la protección de datos personales. En particular, cuando sea probable que un tipo de tratamiento, sobre todo si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Las principales empresas que deberán realizar esta evaluación de impacto, generalizando los términos, son:

• Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
• Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
• Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

Esta evaluación de impacto también podrán realizarla aquellos responsables que vayan a realizar un tratamiento a gran escala u operaciones de tratamiento que entrañen un alto riesgo para las personas.

La diferencia entre la evaluación de impacto y el análisis de riesgo es que la primera se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos; mientras que la segunda analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

Recomendación: Realizar y documentar un análisis de impacto en los casos en que sea obligatorio o recomendable.

6.- DELEGADO DE PROTECCIÓN DE DATOS – DPO O DPD

El DPO será designado “atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones” indicadas en el RGPD, según el artículo 35 del RGPD.

Se debe señalar que el DPO no tiene por qué ser abogado ni tener un máster en protección de datos u otro certificado similar. Lo más habitual será, por tanto, que se nombre DPO a un profesional licenciado o graduado en Derecho, no necesariamente abogado, con más de 4 años (lo recomendable sería más de 10 años) de práctica en protección de datos.

El RGPD recoge la obligación, para determinadas empresas de contar con un DPO. Algunas de estas obligadas, además de las autoridades u organismos públicos, son, generalizando los términos, las siguientes:

• Empresas que lleven a cabo una observación habitual y sistemática de interesados.
• Empresas que traten a gran escala categorías especiales de datos.

Las empresas que no encajen en esta clasificación pueden valorar contar con esta figura, que tendrá como funciones la gestión y el control de la protección de datos dentro de la empresa, así como actuar como punto de contacto entre esta y la AEPD.

Recomendación: Nombrar a un responsable interno y contratar un servicio externo de resolución de consultas especializadas y para disfrutar de un servicio de seguimiento jurídico.

IMPORTANTE: PASOS PARA ADECUAR TU EMPRESA AL RGPD

¿Tu empresa debe tener DPO? Empieza nombrando uno, a continuación, sigue las recomendaciones de este artículo, empezando por la auditoría con profesionales jurídicos e informáticos.

Para obtener asesoramiento o guía en el cumplimiento del nuevo RGPD, contacta con OKPC. Contamos con profesionales que ejercen la práctica de la protección de datos desde el siglo pasado y con un equipo de informáticos especializados en seguridad informática capaz de realizar auditorías e integraciones.

OKPC realiza constantemente auditorías (legales e informáticas) de protección de datos a grupos de empresas y multinacionales, así como a empresas tecnológicas y de comercio electrónico.

Recuerda: el RGPD se aplico a partir del 25 de mayo de 2018. Ya no tienes tiempo para auditar y adecuar tu empresa.