Cómo adaptarte a la nueva RGPD

A partir del 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD, en español, o GPDR, en inglés) será de obligatorio cumplimiento en toda la Unión Europea, sustituyendo a la actual Ley Orgánica de Protección de Datos y el Reglamento RD-1720/2007. Te contamos qué novedades trae y cómo adaptarte a la nueva RGPD.

¿QUÉ INFORMACIÓN DEBE TENER EL USUARIO?

Actualmente, la LOPD exigía facilitar la siguiente información a la hora de solicitar los datos personales:

  • La existencia del fichero o tratamiento, su finalidad y destinatarios
  • El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y datos de contacto del responsable del tratamiento.

El nuevo RGPD obliga a incluir información adicional:

  • Los datos de contacto del Delegado de Protección de Datos, en su caso,
  • La base jurídica o legitimación para el tratamiento,
  • El plazo o los criterios de conservación de la información,
  • La existencia de decisiones automatizadas o elaboración de perfiles,
  • La previsión de transferencias a Terceros Países,
  • El derecho a presentar una reclamación ante las Autoridades de Control

 

Por tanto, TODOS los formularios para la solicitud de datos personales deberán ser revisados y modificados para ajustarse a la nueva normativa, incluyendo todos los detalles exigidos.

La información debe estar escrita en un lenguaje claro y sencillo y de forma concisa, transparente, inteligible y de fácil acceso.

La Agencia Española de Protección de Datos (AGPD) recomienda utilizar un modelo de información por capas, en el que:

  • En el primer nivel, se presenta la información básica, resumida, en el mismo momento y medio.
  • En el segundo nivel, se ofrece información adicional de forma detallada en un medio más adecuado para su presentación.

 

Los epígrafes recomendados son los siguientes: responsable del tratamiento, finalidad del tratamiento, legitimación del tratamiento, destinatarios de cesiones o transferencias, derechos de las personas interesadas y procedencias de los datos (en el caso de que no procedan el interesado).

Ejemplo de formulario adaptado al RGPD (vía SemRush).

¿CÓMO ES EL NUEVO CONSENTIMIENTO?

El nuevo RGPD también modifica la definición de consentimiento, a partir de ahora debe ser “inequívoco”, es decir, el que se da mediante una “manifestación del interesado o mediante una clara acción afirmativa”. Ya no se admite el consentimiento tácito o por omisión.

El consentimiento inequívoco también puede otorgarse de forma implícita cuando se deduce de una acción del interesado: por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación.

Los tratamientos iniciados ANTES DEL 25 DE MAYO DE 2018 DEBEN CUMPLIR con el nuevo reglamento, por lo tanto, todos los consentimientos otorgados mediante una manifestación o acción informativa serán válidos.

En el caso de que el consentimiento no se haya obtenido de forma correcta, debe obtenerse como marca el reglamento o valorar si los tratamientos afectados pueden apoyarse en otra base legal, como puede ser, entre otras, el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado (en este caso, los interesados deben ser informados y tienen derecho de aplicar su derecho de oposición).

¿QUÉ NUEVOS DERECHOS TIENE EL USUARIO?

El nuevo RGPD exige que los responsables faciliten a los interesados el ejercicio de sus derechos, con procedimientos que deben ser visibles, accesibles y sencillos y que siempre exista la posibilidad de presentar las solicitudes por medios electrónicos. El ejercicio de estos derechos debe ser gratuito, salvo en los casos que las solicitudes sean manifiestamente infundadas o excesivas, que se podrá cobrar un canon para cubrir los costes administrativos.

  • Derecho de acceso: se reconoce que el usuario tiene derecho a recibir una copia de sus datos personales que son objeto de tratamiento. Esto se puede llevar a cabo por el responsable dando acceso a un sistema seguro en el que ver sus datos.
  • Derecho al olvido: se trata de una manifestación de los derechos de cancelación u oposición en el entorno online, que emana de la jurisprudencia creada por el Tribunal de Justicia de la UE en el caso de Google Spain, por lo que las entidades que apliquen esta jurisprudencia no deben hacer ningún cambio en sus prácticas.
  • Derecho a la portabilidad: el responsable tiene la obligación de ofrecer una copia al interesado que esté en un formato estructurado, de uso común y de lectura mecánica. Al realizar la portabilidad, los datos se transmiten de un responsable al otro, sin necesidad de pasar por el propio interesado.

El establecimiento de medidas de seguridad ya no está definido por unas pautas exhaustivas proporcionadas por la LOPD, sino que se deja la libertad al responsable de elegir las medidas que crea conveniente en función de los riesgos detectados.

El nuevo reglamento añade más factores que la empresa debe considerar a la hora de crear estas medidas técnicas y organizativas, que son:

  • El coste de la técnica
  • Los costes de aplicación
  • La naturaleza, el alcance, el contexto y los fines del tratamiento
  • Los riesgos para los derechos y libertades

 

Las medidas de seguridad no tienen que ser cambiadas obligatoriamente, sino que deben revisarse y comprobar que éstas cumplen los análisis del riesgo previo.

El RGPD define la “violación de seguridad de los datos” como la “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

En el caso de producirse una violación o quiebra de seguridad, el responsable debe informar a la autoridad de protección de datos competente, a menos que sea improbable que suponga un riesgo para los derechos y libertades de los afectados, y debe hacerlo en menos de 72 horas después de tener conciencia de ella.

Esta notificación debe incluir los siguientes elementos:

  • La naturaleza de la violación
  • Categorías de datos y de interesados afectados
  • Medidas adoptadas por el responsable para solventar la quiebra
  • Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados

En el caso de que la violación entrañe un alto riesgo para los derechos o libertades de los interesados, también debe notificarse a estos, con el objetivo de que puedan tomar medidas para protegerse de dicha violación.

MÁS INFORMACIÓN

Si necesitas información más detallada y exhaustiva, la web oficial de la AGPD tiene una serie de guías y orientaciones para adaptarse satisfactoriamente al nuevo Reglamento General de Protección de Datos.

Categorías