Nueva legislación europea de protección de datos GDPR


La nueva legislación europea de protección de datos GDPR. ¿Qué es? ¿Qué significa para nosotros?

Probablemente, todos hemos escuchado hablar de la nueva legislación Europea en materia de protección de datos GDPR ya en varias ocasiones. Pero… ¿Qué es la GDPR? ¿En qué me afecta? ¿Mi software está preparado?

Empezando por la parte más sencilla, la Ley de protección de datos GDPR o General Data Protection Regulation (En Español: Reglamento General de Protección de Datos), es una extensión a la ya más que conocida LOPD 15/1999 española (Ley Orgánica de Protección de Datos), así como sus ampliaciones de 2002. La diferencia, es que la Ley de protección de datos GDPR es una nueva legislación a nivel Europeo, que entra en vigor el 25 de Mayo de 2018, convirtiendose en “los requisitos mínimos de protección de datos a cumplir por cualquier estado miembro”.

El gran cambio de la Ley de protección de datos GDPR respecto a la LOPD Española, es el enfoque que se le da a la legislación. En la LOPD Española, encontrabamos una tipificación clara sobre los diferentes niveles de cada uno de los datos que podíamos tener. Estos eran, “bajo”, “medio” y “alto”. A su vez, cada uno de estos niveles, tenían una serie de medidas de seguridad de cumplimiento obligatorio.

En la nueva legislación Europea, encontramos que estos niveles no existen. Faltaría por ver si en España mantenemos los niveles actuales o si se establecen unos mínimos para casos determinados, pero, en cualquier caso, esta legislación habla de “riesgos”. Es decir, en lugar de tener una tipificación clara (por ejemplo, los datos de salud o políticos son de nivel alto y requieren las medidas X, Y, Z), encontramos que los propios gestores de la información deben evaluar el riesgo de la información que disponen, y establecer medidas en base a dicho riesgo.

Los cambios más importantes de la Ley de protección de datos GDPR a los que nos enfrentamos, son los siguientes:

  • Consentimiento inequívoco: Ya no resulta válido el consentimiento tácito o por omisión y se requiere una manifestación claramente positiva por parte de las personas para el tratamiento de sus datos.
  • Derecho de acceso: La nueva legislación Europea contempla la posibilidad de que una persona solicite los datos personales que disponemos de ella. Esto, ya estaba contemplado en la antigua LOPD Española.
  • Derecho al olvido: Se contempla la posibilidad de que un tercero solicite la eliminación de los datos en caso de fallecimiento. Podríamos decir que se “daba por hecho”, pero no estaba legislado.
  • Limitación del tratamiento: El titular de los datos tratados puede solicitar el cese del tratamiento de los mismos, por ejemplo en caso de un tratamiento ilícito, pero sin solicitar la eliminación, para posteriormente, poder realizar una reclamación o queja sobre la forma de tratamiento.
  • Portabilidad: Este derecho permite solicitar a un titular de datos el acceso a los mismos en un formato estructurado, de uso común y legible por una máquina, así como la transmisión de los datos a otro fichero (incluso de otra empresa) sin impedimentos.

La nueva Ley de protección de datos GDPR incluye los siguientes cambios ante el tratamiento:

  • Medidas de seguridad: Para determinar las medidas de seguridad a implementar, hay que realizar inicialmente una evaluación de riesgos. En base a dicha evaluación habrá que determinar las medidas.
  • Registro de actividades: Los encargados de tratamiento deben mantener un registro de las actividades de tratamiento realizadas sobre los datos.
  • Obligaciones en caso de fallo: En caso de un fallo de la seguridad relacionado con los datos tratados, si el problema supone un riesgo a los derechos y libertades de los afectados, se debe realizar una comunicación a los mismos.
  • Introducción del “Delegado de Protección de Datos”: En los casos en que se traten datos a gran escala, datos especialmente sensibles, o en caso de autoridades / organismos públicos, esta figura será obligatoria. Esta persona deberá tener una cualificación profesional para ejercer esta función, y debe tener total autonomía, así como los recursos necesarios para el desarrollo de su actividad (Entendemos que cualquier empleado debe tener los recursos que necesita, pero, aquí está regulado por Ley).

En consecuencia de todo esto, ¿Qué puedo aprovechar de lo que ya tengo hecho para el cumplimiento de la LOPD, para cumplir la nueva Ley de protección de datos GDPR?

  • Registro del fichero: Aunque no se menciona nada, entendemos que los ficheros deben estar igualmente registrados, por lo que los que ya se encuentran en la AEPD mantendrán dicha condición y no habrá que repetir el proceso.
  • Medidas de seguridad: Dado que la LOPD establecía unos niveles estimados de riesgo de los datos en base al tipo de los mismos, entendemos que las medidas de seguridad anteriores no son inválidas. No está de más hacer una nueva evaluación del riesgo, y en base al resultado ver si es conveniente aplicar alguna medida de seguridad adicional, pero, las medidas preexistentes no sobran.
  • Documento de seguridad: Igualmente, no se habla de esto, pero no está de más tener un documento en la empresa donde se establezca la información que se maneja y las medidas aplicadas a dichos datos. Esto es lo mismo que otros documentos que tenemos en la empresa, como pueden ser los planes de contingencia.
  • Auditorías: Todas las auditorías que tengamos registradas del pasado, nos sirven de cara a justificar el cumplimiento de las medidas de seguridad determinadas para los datos.

¿En qué puntos tenemos que hacer un poco más de incapié para revisar el cumplimiento de la nueva Ley de protección de datos GDPR?

  • Consentimiento explícito: Todos aquellos clientes hacia los que se realicen acciones de márketing, deben haber proporcionado un consentimiento claro y explícito para ello. No sirven cosas como “El uso del servicio implica la aceptación de las condiciones”. Esto es especialmente importante de cara a E-Mailing, que es donde probablemente la gran mayoría no cumpla actualmente.
  • Valoración del riesgo: Tocará hacer dicha valoración, aunque no cambie nada respecto a la situación anterior tras ella.
  • Nuevos derechos: Tenemos que contemplar el cumplimiento de los nuevos derechos garantizados por Ley, como el derecho al olvido o el de portabilidad. No sirve decir “Cuando toque, ya veremos cómo gestionarlo”, es mejor estar preparados.
  • Nuevos textos legales: Posiblemente, la parte “más pesada” de todo esto, será el adecuar todos los textos legales de los diferentes documentos que manejamos, para contemplar la nueva legislación y los nuevos derechos.

Entendemos, que la mayoría de estos cambios no nos afectan. Partimos de la legislación más restrictiva de todo Europa respecto a protección de datos, por lo que estos cambios, no suponen una diferencia especialmente importante, al menos en España. Aun así, no está de más comprobar que nuestros sistemas se encuentran preparados de cara a los mismos.

La Agencia Española de Protección de Datos (AEPD) ha puesto a disposición de todas las organizaciones, guías y herramientas para ayudar en la adecuación a la nueva legislación sobre protección de datos GDPR, y su adecuación RGPD (Reglamento General de Protección de Datos).

(3)


By | 2018-02-27T16:33:27+00:00 febrero 27th, 2018|CRM, Noticias|0 Comments

About the Author:

Técnico informático / Programador / Friki de la web. Simplemente me ha gustado demasiado documentarme de las cosas, lo que al final me lleva a estudiar o informarme sobre temas totalmente dispares. Y, al final, como todo eso hay que dejarlo en algún lado, ese lugar es aquí. Lo siento si los posts en sí son un poco peñazos, pero espero que al menos sus contenidos puedan ser útiles para alguien.

Leave A Comment

O