El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Se trata de una nueva normativa de Protección de Datos a nivel de la Unión Europea y de implantación obligatoria, que derogará parte de la LOPD y su reglamento de medidas (RD 1720/2007).
Todas las empresas, profesionales y organizaciones que gestionan datos personales deben adaptase a los principios y obligaciones de las siguientes normativas para garantizar los derechos de los interesados:
- Ley Orgánica de Protección de Datos de carácter personal (LOPD 15/1999): emana del marco normativo de la Unión Europea, dirigido a la protección de la intimidad como derecho fundamental y reconoce al individuo la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.
- Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE (34/2002)): afecta a todos los titulares de sitios web, y regula todos los servicios y comunicaciones en Internet.
Tareas de adaptación al RGPD
- Designar el Delegado de Protección de Datos (DPD)
- Elaborar el Registro de Actividades de tratamiento
- Identificar finalidades y base jurídica de los tratamientos
- Efectuar un Análisis de riesgos
- Implementar las medidas técnicas y organizativas necesarias según los resultados del análisis de riesgos
- Establecer protocolos para gestionar y notificar quiebras de seguridad
- Valorar tratamientos que requieren EIP (Evaluación de Impacto de la Privacidad)
- Realizar EIP
Otras actuaciones simultáneas:
- Adecuar formularios para el derecho de información
- Establecer y revisar mecanismos y procedimientos de ejercicio de derechos
- Valorar si los encargados ofrecen garantías y adaptación de contratos
- Elaborar/Adaptar Política de Privacidad y plan de formación para empleados
Requisitos y Obligaciones
Los requisitos legales y medidas de seguridad informáticas son más estrictos en función del grado de clasificación de los datos personales. El órgano de control del cumplimiento de la normativa de protección de datos dentro del territorio español, con carácter general es la Agencia Española de Protección de Datos, ademas de las Agencias de Protección de Datos de carácter autonómico. Las sanciones pueden oscilar entre los 900€-600.000€ dependiendo de la gravedad de la infracción.
El responsable del fichero o tratamiento debe cumplir las obligaciones de la LOPD y de su organización:
- Notificar los ficheros ante el Registro General de Protección de Datos para que se proceda a su inscripción.
- Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
- Garantizar el cumplimiento de los deberes de secreto y seguridad.
- Informar a los titulares de los datos personales en la recogida de éstos y obtener el consentimiento para tratarlos
- Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
- Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
- Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.
Beneficios
- Evitar sanciones de la AEPD
- Aumentar la capacidad de reacción ante pérdida de datos
- Incrementar la seguridad informática, evitando el alto riesgo del mal uso de las nuevas tecnologías
- Delimitar responsabilidades (por mal uso de terceros)
- Proyectar una buena imagen empresarial con la correcta implantación de la política de privacidad
Herramientas
- La AEPD ofrece herramientas y orientación para el cumplimiento del Reglamento General de Protección de Datos y una guía para el ciudadano.
- El Centro Criptológico Nacional, CNN, ofrece una herramienta de Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
- En la web de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico se encuentra toda la información pertinente para empresas y ciudadanos.
