Para proporcionarle al beneficiario mayor seguridad sobre su información personal, en el 2016 se constituyó una nueva ley “El Reglamento Europeo de Protección de Datos (RGDP)”, con el fin de fijar unas reglas comunes para todas las compañías establecidas o no en la UE, pero que requieran los datos personales de ciudadanos europeos.
Esta nueva ley va a sustituir a la Ley Orgánica de Protección de Datos (LOPD), creada en diciembre de 1999, con el objetivo de que las personas decidan como quieren que manipulen sus datos, así como la información que reciben por parte de las empresas, mediante el consentimiento explícito, sencillo y legítimo.
Unas de las diferencias que tienen la RGPD y la LOPD es que, el RGPD es que la información que se le transmite a los interesados sea breve, transparente, comprensible y de fácil acceso, con un lenguaje fácil y claro.
Obtención del consentimiento para el tratamiento de datos
LOPD: exigía la aprobación inequívoca de los interesados para el tratamiento de sus datos, además de que, si los datos solicitados no eran especialmente sensibles, podían ser tácitos los consentimientos. Por otra parte, el tratamiento de datos de menores se podían recabar datos personales a mayores de 14 años sin necesidad de la conformidad de sus padres.
RGDP: se conservan los mismos principios de consentimiento que constituye la LOPD, exigiendo una aprobación libre, informada, especifica e inequívoca con la novedad de que existe una declaración del interesado o una acción positiva que expresa su conformidad.
Deber de información
LOPD: Establecía la obligación de informar en todo transcurso de recogida de datos personales sobre la existencia de un fichero o tratamiento de datos de carácter personal, la identidad del responsable del tratamiento, la finalidad de la recogida de los datos y de los destinatarios de la información, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
RGDP: se obligó informar a todos los usuarios sobre los nuevos cambios establecidos, como la base legal para el tratamiento de datos, el tiempo de conservación del mismo y las reclamaciones que se podían realizar a las Autoridades pertinentes desde el día 25 de mayo.
Derechos de los interesados
LOPD: antiguamente los derechos eran los siguientes:
- Derecho al acceso.
- Derecho a la rectificación.
- Derecho de oposición.
- Derecho de cancelación.
RGDP:
- Derecho a la transparencia de la información
- Derecho de supresión (derecho al olvido)
- Derecho de limitación
- Derecho de portabilidad
Comunicación de fallos a la autoridad de protección de datos.
LOPD: no se regula en la LOPD.
RGPD: obliga al responsable del tratamiento notificar los fallos de seguridad que tengan en su compañía u organización en un máximo de 72 horas a la Agencia de Protección de datos (AEPD).
Evaluación de impacto del tratamiento de datos personales
LOPD: no se regula en la LOPD.
RGDP: se implanta el deber de efectuar una estimación de impacto (Privacy Impact Assesment) para las empresas que hagan tratamientos de datos que puedan involucrar un alto riesgo para los derechos y libertades de los ciudadanos en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
Registro de tratamiento de datos
LOPD: no se regula en la LOPD.
RGDP: las empresas que periódicamente hagan tratamiento de datos de riesgo para la privacidad de los interesados, o traten datos sensibles, deben contar con un registro de las actividades de tratamiento realizadas bajo su responsabilidad. El registro tiene información importante, además, a los tratamientos de datos que se cometan, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.
Aplicación de medidas de seguridad
LOPD: constituía el deber de implementar distintos tipos de medida de seguridad, en función de nivel básico, medio o alto de los datos tratados.
RGDP: este reglamento no diferencia entre estos niveles, sino que especifica que las medidas de seguridad que se aplican teniendo en cuenta el estado de la técnica, los costes de la aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
Delegado de protección de datos
LOPD: en su artículo 95 la figura de Responsable de Seguridad, cuya designación es precisa en caso de tratamiento de ficheros de nivel medio/alto.
RGDP: se implanta la nueva figura del Data Protection Officer o Delegado de Protección de Datos, que ocupa nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos.
Dicha figura será obligatoria cuando:
- El tratamiento lo lleve a cabo una autoridad u organismo público.
- Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación
LOPD: no se regula en la LOPD
RGDP: Se adelanta un paso más para fortificar el concepto de “accountability empresarial”, es decir, la responsabilidad proactiva en el cumplimiento normativo. Para ello, el RGPD establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento.
Con todo lo que te hemos explicado en este artículo, básicamente tuviste que adaptar tu web a la nueva ley europea con:
- Los textos legales (política de privacidad, aviso legal)
- Formularios (contacto, banners, pop-ups, etc)
- Utilización de Cookies (aceptación)
La normativa va más allá de la seguridad, enlaza también un nuevo régimen de penalización con la intención de hacer ver la relevancia de invertir en sistemas de seguridad.
Hasta mayo del 2018 las sanciones pueden ir desde 900 euros hasta 600.000, a partir de la fecha tope no se establecen cuantías mínimas pero las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen del infractor.
Este periodo debe invertirse para adaptarse a las medidas jurídicas técnicas y organizativas de las empresas en la recogida de datos de sus clientes y poder garantizar su cumplimiento efectivo.