El próximo 25 de mayo empieza aplicarse el Reglamento Europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”). Esta nueva normativa, será aplicable a todos los Estados miembros de la Unión Europea y afectará cualquier persona física o jurídica que recabe o trate datos de carácter personal. Por tanto, toda institución o empresa, ya sea pública o privada deberá adaptar la manera en que trata o recoge datos de carácter personal a esta nueva normativa. Incluidos los autónomos, las pymes, las asociaciones, clubes deportivos, etc.
¿QUÉ NOVEDADES NOS TRAE EL RGPD EN RELACIÓN A LA NORMATIVA ANTERIOR?
La Ley Orgánica de Protección de Datos recoge la antigua regulación, que se basaba en un modelo en el que realizando unos cuantos trámites en la Agencia Española de Protección de Datos (en adelante, la “AEPD”) y guardando una cierta documentación, se daba cumplimiento a la normativa y se evitaba así, posibles sanciones administrativas. Pero la nueva normativa cambia totalmente este sistema. El nuevo sistema parte de concepto de “accountability” o responsabilidad proactiva, que obliga a la persona jurídica o física que trate datos personales a realizar una auditoría de los procedimientos de recogida y tratamiento de los datos. Debiendo demostrar que se ha tenido en cuenta la protección de los datos personales en cada modelo de negocio.
¿CÓMO SE REALIZAN LAS AUDITORÍAS EN PROTECCIÓN DE DATOS?
En primer lugar, se deberá identificar cada uno de los datos personales que se recopila y se está utilizando, y proceder a evaluar el riesgo que tiene cada tratamiento sobre la privacidad de los datos personales. Una vez identificado dicho riesgo (inherente), se deberá decidir qué medidas adoptar en relación con el tratamiento para obtener un menor riesgo (residual). Una vez finalizada la evaluación, se deberá reflejar en un informe los cálculos de riesgo y las medidas mitigadoras.
En caso de que alguno de los riesgos obtenido sea considerado “alto” o “muy alto”, o se cumplan alguna de las condiciones especiales que marca la AEPD (video vigilancia, menores, personas vulnerables, profiling o scoring, datos médicos…) será necesario realizar una evaluación de impacto sobre la protección de datos. Es decir, un informe profundo y específico para cada uno de estos tratamientos.
Tras la fase de análisis de los tratamientos y sus riesgos, será necesario implantar todas las medidas mitigadoras en el seno de la organización y marcar unos procedimientos a seguir antes de realizar un nuevo tratamiento de datos.
¿CUÁLES SON LAS CONSIDERACIONES MÁS IMPORTANTES A TENER EN CUENTA PARA ANALIZAR LOS TRATAMIENTOS DE DATOS?
- La nueva normativa cambia la manera en que se recoge el consentimiento de personas afectadas por los tratamientos. Ya no existe el consentimiento tácito ni la posibilidad de pre-marcar casillas de consentimiento en el entorno online;
- Para cada tratamiento se deberá ofrecer a los afectados la posibilidad de ejercer los derechos que le otorga la normativa, incluyendo dos nuevos derechos: portabilidad, limitación, acceso, rectificación, supresión y oposición;
- La gestión de los consentimientos otorgados por los propios empleados, y la manera en que éstos tratarán los datos.
- Existen nuevas obligaciones que atañen la relación responsable-encargado, teniendo especial incidencia en servicios en la nube;
- Los procedimientos instaurados en caso de brechas de seguridad;
- El alcance de los tratamientos (volumen y geográfico);
CAMBIOS IMPORTANTES PARA ESTAR ADECUADO AL RGPD
Una de las principales novedades es que ya no es obligatoria la inscripción de ficheros en la AEPD, siendo sustituido por el Registro de Actividades de Tratamiento que, junto con los informes de evaluación de riegos, las evaluaciones de impacto, los procedimientos de aplicación de medidas mitigadoras a cada tratamiento entre otros, será la documentación necesaria para poder demostrar que hemos sido proactivos y que hemos analizado en profundidad nuestro sistema de datos personales.
Cuando el análisis y evaluación de tratamientos así lo refleje, será necesario contar con la presencia de un Delegado de Protección de Datos. Será una figura que tenga la responsabilidad de gestionar todo lo relacionado con la protección de datos.
CONCLUSIÓN
En definitiva, el sistema para proteger a los afectados ha cambiado, y estamos ante una nueva forma de entender el cumplimiento normativo. Ahora la responsabilidad cae sobre la persona que trata los datos, que deberá realizar una auditoría de su sistema para poder implementar las medidas adecuadas para poder demostrar así, que es diligente en el tratamiento de datos de carácter personal.
Aquellas empresas, asociaciones, fundaciones y autónomos que incumplan el RGPD se enfrentan a sanciones de hasta 20 millones de euros o el 4% de la facturación anual mundial.