El 25 de mayo de 2018 la Ley Orgánica de Protección de Datos (LOPD) es sustituida por el Reglamento General de Protección de Datos (RGPD) y todas las empresas de la Unión Europea deben adaptar sus políticas de privacidad para asegurarse que cumplen con la ley y que respetan la intimidad de los usuarios por encima de sus intereses comerciales.
Principales novedades del RGPD
- Las empresas están obligadas a aplicar medidas técnicas y organizativas que consideren adecuadas para garantizar la confidencialidad y poder demostrar que el tratamiento es seguro y conforme con la norma.
- Desaparece la inscripción de ficheros en la Agencia Española de Protección de Datos, del documento de seguridad, de los niveles de seguridad o de las auditorías bianuales obligatorias.
- Las empresas deberán designar un Delegado de Protección de Datos (DPD) con conocimientos especializados en derecho y protección de datos que será el encargado de informar, asesorar y supervisar el cumplimiento del RGPD en la empresa. Aunque no todas las empresas estarán obligadas a nombrar un DPD, se recomienda hacerlo como medida de control adicional.
- Las empresas tendrán que dar opción al usuario de aceptar o rechazar explícitamente con un click, o una marca en una casilla, el tratamiento de sus datos para finalidades que no sean imprescindibles para prestar el servicio contratado. No se considera prestado el consentimiento mediante el silencio, las casillas premarcadas, la inacción del interesado ni el consentimiento tácito.
- Se deberá informar a los usuarios de forma transparente, concisa e inteligible de los aspectos más relevantes respecto del tratamiento de sus datos.
- Además de los derechos acceso, rectificación, cancelación y oposición, se incluyen los derechos: de limitación: (que nuestros datos sean conservados, pero sin ser tratados durante cierto tiempo por diversos motivos como, por ejemplo, mientras se verifica si los datos son inexactos o mientras se plantea una denuncia o reclamación) y Portabilidad (posibilidad de trasladar nuestros datos de un proveedor de servicios a otro, siempre y cuando sea técnicamente viable, en un formato estructurado y de uso común).
- Las empresas deben establecer medidas para detectar fugas de datos o fallos de seguridad, así como evaluar y documentar cada incidencia comunicando a la Agencia Española de Protección de Datos las Brechas de Seguridad en el plazo de 72 horas, por lo que deberán estar preparadas para detectar las brechas y realizar la comunicación en plazo.
- Aumentan considerablemente las sanciones por infracción de la norma hasta 20.000.000 € o el 4% del volumen de negocio total anual del ejercicio anterior, optándose por la de mayor cuantía.
¿Qué tienes que hacer para cumplir el RGPD en tu empresa?
- Evaluar si estáis obligados a nombrar un DPD.
- Elaborar un registro de los tratamientos de datos que llevéis a cabo: tipo de datos, finalidades, base legal de los mismos, cesiones, encargados del tratamiento y todas aquellas circunstancias que los afecten.
- Evaluar si las medidas de seguridad son suficientes o si debéis implantar medidas adicionales.
- Documentar el tratamiento de los datos personales mediante manuales, políticas y procedimientos, así como generar las evidencias que permitan demostrar que cumple con el RGPD.
- Evaluar el modelo periódicamente para detectar incidencias o nuevos riesgos de incumplimiento.