RGPD-LOPDGDD y LSSICE

¿Qué es el RGPD?

El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y es aplicable a partir del 25 de mayo del 2018.

Los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46. No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo reglamento.

Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

Diferencias básicas entre LOPD y el RGPD

Las diferencias entre la anterior normativa (LOPD) y la nueva (RGPD) a grandes rasgos son:

  • Actitud proactiva frente a la pasiva actual
  • Se añade el principio de responsabilidad proactiva (accountability): documentar de forma constante y sistemática los distintos tratamientos de datos personales para justificar que se actúa conforme al RGPD.
  • Desaparece la notificación de ficheros, que se sustituye por una obligación de comunicar los datos de contacto del delegado de protección de datos.

A partir de ahora se llamarán tratamientos y habrá que tener un registro de los mismos.

  • Obligación de documentar más extensa que incluye:
    • Los fines del tratamiento
    • La categoría de datos y afectados
    • Las transferencias internacionales
    • Las medidas de seguridad
    • Desaparece el consentimiento implícito y todos los contactos obtenidos con este procedimiento se considerarán nulos si no se renuevan de forma explícita
  • Se mantienen los derechos de acceso, rectificación, cancelación y oposición (ARCO) y se añaden:
    • Derecho al olvido
    • Derecho de portabilidad
  • En determinados casos las empresas deberán elaborar una evaluación de impacto sobre la protección de datos que reflejará los riesgos y amenazas a los que se enfrenta un servicio o producto desde que se pone en marcha.
  • Se van a modificar los consentimientos legales / clausulas
    • El consentimiento tácito, desaparece. Ahora el consentimiento debe de ser expreso.
    • Van a aparecer más datos
    • Aparecen nuevos derechos y deberes
  • Los contratos con encargados del tratamiento de los datos:
    • Se va a solicitar más información y los contratos van a ser más complejos
    • De las más importantes, cabe destacar, que hay que demostrar que se cumple con la normativa (Responsabilidad Proactiva)
  • Responsabilidad Proactiva: El responsable del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que el tratamiento es conforme con el Reglamento
  • Delegado de Protección de Datos (DPO / DPD): Esta nueva figura afecta únicamente a las empresas que cumplan alguno de los siguientes requisitos:
  • Autoridades y Organismos Públicos
  • Empresas cuyas actividades principales traten datos a gran escala
  • Empresas cuyas actividades principales traten datos sensibles
  • Empresas que realicen perfiles

 

Medidas de Seguridad RGPD

En el RGPD, los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

  • Las medidas técnicas y organizativas deberán establecerse teniendo en cuenta:
    • El coste de la técnica
    • Los costes de aplicación
    • La naturaleza, el alcance, el contexto y los fines del tratamiento
    • Los riesgos para los derechos y libertades.
  • El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática.
  • En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece la LOPD si los resultados del análisis de riesgos previo concluyen que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. En ocasiones será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas.

 

Novedades de la nueva LOPDGDD

El pasado 23 de noviembre fue aprobado por el Senado el Proyecto de Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, tras la aprobación por parte del Congreso.

La nueva LOPDGDD trae consigo novedades entre las cuales se encuentran las siguientes:

  • Se fija en 14 años la edad mínima a partir de la cual se puede prestar consentimiento.
  • Poder retirar datos de menores durante la minoría de edad, facilitados a servicios de la sociedad de la información.
  • Se modifica, entre otras, la Ley Orgánica 2/2006, de 3 de mayo, de Educación para incluir en el sistema educativo la asignatura de libre configuración sobre la materia de competencia digital. Esta adaptación por parte de las administraciones educativas será de un periodo de un año a contar desde la entrada en vigor de la Ley.
  • Poder ejercitar el derecho de acceso, rectificación o supresión sobre datos de una persona fallecida por parte de las personas que tengan vinculación ésta.
  • Modificación del Texto Refundido de la Ley del Estatuto de los Trabajadores, añadiendo un nuevo artículo 20 bis al Texto Refundido de la Ley del Estatuto de los Trabajadores, que recoge la desconexión laboral: Especificar los usos autorizados de los dispositivos digitales en el ámbito laboral, para preservar la intimidad de los trabajadores, estableciendo periodos en los que estos dispositivos puedan ser usados para fines probados.
  • Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público. Se añade una nueva letra j bis) en el artículo 14 que recoge la intimidad en el uso de dispositivos digitales y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital.
  • Cambio del periodo máximo para mantener en los sistemas de información crediticia los datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito, pasando de 6 años a 5.
    Sobre este tema también se añade la necesidad de que la deuda publicada, no sea inferior a 50 euros.
  • Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, añadiendo un nuevo artículo cincuenta y ocho bis, en el que se permite el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes, pudiendo obtener los datos personales en páginas web u otras fuentes a acceso público, para hacer actividades políticas durante el periodo electoral, sin tener la consideración de actividad comercial.

Este último punto, ha suscitado revuelo sobre todo en lo relacionado al uso de datos personales relativos a una opinión política que estará amparado por el interés público cuando se ofrezcan garantías adecuadas; y porque los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

Ante este revuelo, la AEPD intenta establecer Criterio sobre las cuestiones electorales en el proyecto de la nueva LOPD manifestando que el Texto del Proyecto la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales no permite la elaboración de perfiles basados en opiniones públicas, no permite el envío de información personalizada basada en perfiles ideológicos o políticos, y sí permite recopilar, no tratar, datos personales relativos a opiniones políticas, siempre cumpliendo con las garantías que establece el Reglamento General de Protección de datos (RGPD).

A pesar de ello, existe una inseguridad jurídica, ya que recordemos que el tratamiento de datos que revelen opiniones políticas supone un tratamiento de categoría especial de datos y ello conlleva la necesidad de unas garantías adecuadas.

Todo ello deja al descubierto otros temas, como por ejemplo, que el acceso a dichos datos puede conllevar consigo tener información sobre, no solo quien es simpatizante de un partido, si no sobre quien no lo es o cuánto tiempo deben conservar los datos.
Como medio de protección y en cumplimiento de las garantías introducidas por el RGPD, el ciudadano puede ejercitar el derecho de oposición que debe facilitarse en un modo sencillo y gratuito

 

Sanciones

  • MENOS GRAVES:
    • No atender la solicitud de rectificación o cancelación por motivos formales.
    • No proporcionar información a la APD.
    • No solicitar inscripción de fichero en el RGPD (puede ser infracción grave).
    • Recoger datos sin proporcionar información a los afectados.
    • Incumplir el deber de secreto (puede ser infracción grave).
    • Se sancionan con multas de hasta 10 millones de € o un 2% de la facturación global
  • MAS GRAVES:
    • Recoger datos personales sin consentimiento expreso de los afectados.
    • Tratar de usar datos de carácter personal incumpliendo la legislación (puede ser infracción muy grave).
    • Mantener datos inexactos, sin rectificar o cancelar.
    • Mantener ficheros, locales, programas o equipos con datos personales sin las debidas medidas de seguridad.
    • Vulnerar el deber de secreto de ficheros de nivel medio.
    • Se sancionan con multas de hasta 20 millones de € o un 4% de la facturación global

 

Servicios RGPD-LOPDGDD y LSSICE ONLINE que ofrece CIC COMUNICACIONES

La adaptación LOPDGDD-RGPD incluye los siguientes servicios:

  • Notificación de los ficheros correspondientes a la AEPD (LOPDGDD).
  • Redacción del registro de actividades de tratamiento (RGPD).
  • Redacción del Documento de Seguridad.
  • Entrega de todas las cláusulas para cumplir con el deber de información y consentimiento.
  • Redacción de todos los textos legales para la página web (LSSICE).
  • Elaboración de los contratos de confidencialidad con terceros con acceso a datos (encargados de tratamiento – ET) y con los trabajadores.
  • Entrega de la documentación para cumplir con los protocolos y derechos ARCO.
  • Informe de recomendaciones técnicas.
  • Manual para los usuarios con acceso a datos.
  • Análisis de riesgos y evaluaciones de impacto.

Dentro del mantenimiento anual de RGPD se realizan las siguientes acciones:

  • Atención telefónica para consultas y asistencia técnica.
  • Atención telefónica de consultas de las normativas del RGPD.
  • Mantenimiento y actualización del Documento de Seguridad.
  • Envío automático a lo largo del año de formularios de seguimiento para ayudar en tareas pendientes.
  • Información periódica de novedades relativas a la protección de datos y seguridad.
  • Revisión anual del Documento de Seguridad.

 

A continuación, le adjuntamos un pequeño cuestionario que le permitirá detectar rápidamente si está cumpliendo con la normativa en su negocio:

  • ¿Tiene los ficheros obligatorios (clientes, proveedores, trabajadores, etc.) debidamente notificados a la Agencia Española de Protección de Datos?
  • ¿Dispone de un ‘documento de seguridad’ actualizado?
  • ¿Tiene un acuerdo de confidencialidad firmado con los terceros que le prestan un servicio y acceden a datos (asesoría, informáticos, limpieza,…)?
  • ¿Sus trabajadores están informados respecto a la normativa y han firmado un compromiso de confidencialidad?
  • ¿Cumplen con el deber de información y consentimiento que establece la LOPD cuando recopila datos de sus clientes?
  • ¿Su página web incluye los avisos legales correspondientes en materia de LOPD-LSSICE?
  • ¿Cuándo envía comunicaciones comerciales por correo electrónico, tiene presente las prescripciones derivadas de la LSSICE?

Si ante alguna de estas preguntas ha respondido de forma negativa o ha dudado sobre si lo están gestionando correctamente, contacte con nosotros y le ofreceremos un servicio a medida de implantación y/o auditoría de Protección de Datos y LSSICE adaptado a sus necesidades.

¡ME INTERESA!

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies