El pasado año se aprobó el nuevo Reglamento Europeo de Protección de Datos. Sin embargo, no será obligatorio su cumplimiento hasta mayo de 2018. Se establece una moratoria para que las empresas puedan adaptarse y cumplir sus nuevas exigencias. Vamos a ver qué novedades tendrán que cumplir con la implantación del Reglamento General de Protección de Datos (RGPD) el próximo año.
Hasta la entrada en vigor de la obligación, las empresas pueden ir implementando las medidas necesarias para que, llegada la fecha, ya se encuentren adaptadas y no tengan que hacer los cambios de forma drástica. De todas maneras, hasta mayo de 2018 sigue siendo vigente el actual reglamento, por lo que no puede haber medidas que sean contradictorias.
Aplicación del nuevo Reglamento General de Protección de Datos
El ámbito territorial será uno de los aspectos que cambiará respecto al actual reglamento, ya que seampliará. A partir de ahorase aplicará también a empresas y entidades que se encuentran fuera de la Unión Europea, en el caso de que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades.
Derecho al olvido y la portabilidad
El nuevo reglamento recoge de forma expresa dos nuevos derechos para los ciudadanos: el derecho al olvido y el derecho a la portabilidad. Por el primero, los ciudadanos de la Unión Europea pueden solicitar que los datos personales sean suprimidos cuando, entre otros casos, éstos ya no sean necesarios para la finalidad con la que fueron recogidos, se haya retirado el consentimiento o si se han recogido de forma ilícita.
Además, los ciudadanos pueden solicitar que se bloqueen en las listas de resultados de los buscadoreslos vínculos que conduzcan a informaciones que les afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
Por lo que tiene que ver con la portabilidad, el interesado que haya facilitado sus datos a un responsable que los esté tratando de forma automatizada puede recuperarlos en un formato que le posibilite su traslado a otro responsable. Si es factible a nivel técnico, el responsable deberá transferir los datos directamente al nuevo responsable designado por el interesado.
¿Qué es la responsabilidad activa?
Las empresas deberán tener más cuidado en la prevención, sobre todo por parte de aquellas que realizan tratamiento de datos. Es lo que se conoce comoresponsabilidad activa, debiendoadoptar medidas que aseguren que están en condiciones de cumplir con los principios, derechos y garantías establecidas en el Reglamento.
Para ello, las empresas tienen que realizar una serie de medidas que garanticen la protección de datos desde el diseño, protección de datos por defecto, mantenimiento de un registro de tratamientos, evaluaciones de impacto sobre la protección de datos, nombramiento de un delegado de protección de datos, notificación de violaciones de seguridad y promoción de códigos de conducta y esquemas de certificación.
Las empresas que tratan datos deben hacer un análisis de riesgo de sus tratamientos para saber qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples dependiendo del tipo de datos que traten las empresas y su grado de sensibilidad. En otras ocasiones pueden ser tremendamente complejos.
Consentimiento explícito
El nuevo reglamento obliga a que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Esto va a obligar en muchos casos a cambiar enlas empresas la forma en la que registran y obtienen el consentimiento para el tratamiento de datos, ya que no será válido el consentimiento tácito.
Además, en el caso de datos sensibles, el consentimiento debe ser explícito, es decir, no basta con una acción positiva del ciudadano, sino que se refiera explícitamente al mismo.
Avisos de privacidad
Como norma general, todas las empresas deberán cambiar sus avisos de privacidad. El nuevo reglamento exige que se explique de forma sencilla la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las autoridades de protección de datos, si creen que hay un problema con la forma en que están manejando sus datos.
La ventanilla única
Por último, como novedad, se establece un sistema de ventanilla única, pensado para que las empresas que operan en diferentes países o realizan tratamiento de datos de ciudadanos de diferentes nacionalidades de la Unión, tengan una única autoridad de protección de datos como interlocutora.
Algunas de las novedades que deben implantar son sencillas; en otros casos, el análisis de riesgos puede ser muy complejo. Lo ideal es que las empresas se vayan preparando de forma paulatina, pensando cómo requerir los consentimientos, cambiando sus avisos legales, etc. De esta forma, llegado el momento de entrada en vigor, los cambios serán mínimos.
Ampliamos el Plan de Ayuda RGPD
Hasta el 30 de junio, con 2,5 millones más de euros en fondos para seguir beneficiando a las empresas en su adaptación al nuevo Reglamento con las soluciones Sage RGPD Ready.
Siguiente lectura recomendada
RGPD vs. Facebook: ¿monopolio de información?
