Lo más importante en el RGPD europeo LOPD que entra en vigor el 25-05-2018

Lo más importante en el RGPD europeo

El Controller Financiero debe preocuparse de que se cumpla la LOPD o Ley de Protección de Datos y por ello debe instar a la empresa a tomar las medidas necesarias para cumplir el Nuevo Reglamento General de Protección de Datos o el RGPD europeo que viene impuesto por Europa y que entra en vigor el próximo 25 de mayo de 2018.

Considero un hito muy importante que Europa unifique, o mejor dicho, intente unificar la legislación relacionada con la LOPD, en la que hay 28 normativas distintas, 28 autoridades de control distintas y 28 sistemas sancionadores distintos. Digo intente porque hay algunos asuntos que deja su desarrollo a potestad de cada país miembro de la Unión Europea.

Es interesante recordar que también anhelamos una unificación fiscal, e incluso laboral, estando la financiera en proceso de unificación desde hace ya tiempo.

Por qué hay que hacer cambios en la LOPD

Sencillamente, porque el mundo ha cambiado y sigue transformándose por la llegada y desarrollo de la tecnología y de las redes sociales. Es necesario un nivel homogéneo de protección de los datos que reduzca al máximo la burocracia, que siempre es un coste excesivo para las empresas, permitiendo la libre circulación de datos personales entre los países de la Unión Europea.

Los españoles ya tenemos una LOPD desde el año 1999 y un Reglamento desde el año 2007, en el que las sanciones se bareman entre 900 euros y 600 mil euros, siendo los 7 puntos principales los siguientes, a modo de muy breve resumen:

  1. Nivel de Datos: Básicos, Medios y Altos
  2. Medidas de Seguridad concretas para cada nivel
  3. Nombrar a un Responsable de Seguridad
  4. Tener a mano un Documento de Seguridad
  5. Facilitar a los empleados un Manual de Funciones y Obligaciones en Protección de Datos
  6. Derechos ARCO (acceso, rectificación, cancelación, oposición)
  7. Y todo ello se cumplía con Medidas Jurídicas (cláusulas en contratos), Técnicas (se reflejan en el Documento de Seguridad) y Organizativas (registro de ficheros en la Agencia de Protección de Datos)

España es el país de la Unión Europea pionero en regulación sobre la Ley de Protección de Datos, en la que el resto de países europeos se asombran, por no decir se asustan, de la rigidez y dureza con la que se aplica ya desde el año 1999. Ahora, la nueva LOPD española, adaptada a el RGPD europeo, está en fase de aprobación. Veremos si se mantiene el grado de rigidez como hasta ahora, aunque mucho nos tememos que así será.

Ojo e importante: no confundamos la LOPD con la LSSI que regula la comunicación en internet, como las famosas cookies

Por qué hay que Proteger los Datos Personales

La Protección de Datos nace en los años 70 y forma parte del Derecho a la Intimidad de las personas físicas. El reciente escándalo de Facebook demuestra la posible y sencilla violación de dicho derecho a la intimidad con el aprovechamiento por parte de ciertas personas y empresas que compran, roban o reciben esos datos para influir en el consumo o en la forma de pensar de las personas.

Todas las empresas manejan datos personales y por tanto deben cumplir la Legislación, aunque bien es cierto que la nueva normativa pone el foco, sobre todo en empresas que hacen tratamiento de datos a gran escala, aunque no define qué es gran escala, dejándolo a criterio de cada organización, o quizás de cada país a medida que vayan aprobándose las nuevas leyes que se adapten el RGPD europeo.

Los 15 cambios más importantes en el RGPD europeo

El RGPD europeo ya hace dos años que se aprobó, pero entra en vigor en unos días, por lo que lo de catalogarlo de “nuevo reglamento de protección de datos europeo” es por su entrada en vigor, no por el conocimiento de la normativa que ya deberíamos tener todos implementada en nuestras empresas.

1.- Una de las novedades es el régimen sancionador, que es único pero muy duro, hasta 20 millones de euros o un 4% de la facturación, cuya nivel de gravedad se pondera por la autoridad de protección de datos, en España, la Agencia de Protección de Datos.

2.- La filosofía del nuevo RGPD es establecer una cultura de protección de datos en las empresas, en la que haya una mayor responsabilidad en la toma de decisiones y de control sobre el tratamiento de los datos, dando más libertad en las medidas a tomar para garantizar la protección de los datos de las personas físicas, basándose en la realización de un análisis de riesgos y en el principio de responsabilidad proactiva.

3.- Hay que proteger el Dato de una Persona Física, el cual se considera como cualquier elemento que identifique a una persona física. Por ejemplo, no solo el nombre y apellidos, sino que también puede serlo el número del DNI, la matrícula de un coche, un número de teléfono, una cuenta bancaria, el número de seguridad social, un número de socio del gimnasio, etc. Si detrás de un dato hay una persona física, ese dato hay que protegerlo.

el RGPD europeo inculca una cultura empresarial en protección de datos personales
4.- Y hay que garantizar que el Tratamiento de dicho dato personal quede en el interior de la empresa y sea utilizado para la finalidad para la que se recabó.
Hay que Evitar fórmulas farragosas y que remitan a textos legales que el interesado tenga que buscar. La información debe ser sencilla y por escrito.

5.- Las Cláusulas Informativas deben cumplir una serie de requisitos.

6.- El Plazo de Conservación de los Datos Personales es: los Laborales, un año; los de Seguridad Social, cinco años; los de Acciones Civiles, cinco años; y los de Acciones Mercantiles, seis años.

7.- Nuevos Derechos de las Personas Físicas: los ARC (acceso, rectificación, cancelación) + Información + Limitación + Portabilidad + Supresión u Olvido

8.- El Consentimiento de la Persona Física, para que se puedan tratar sus datos, debe ser inequívoco y explícito. Por tanto, la persona física debe realizar una acción confirmando que quiere que sus datos puedan ser tratados, por lo que desaparece el consentimiento tácito. Debe decir “sí quiero” que puede ser marcando un check. La firma de un contrato consiente tratar los datos personales para cumplir la finalidad de dicho contrato, pero no otras finalidades. También hay consentimiento cuando se tratan los datos personales para cumplir con una Obligación Legal.

9.- Obligatorio realizar un Análisis de Riesgos para decidir qué medidas de Responsabilidad Activa hay que aplicar y cómo aplicarlas. Hay que ser diligentes y demostrarlo.

10.- Registro de Actividades del Tratamiento: consiste en establecer un procedimiento de control y documentación interno, que viene a sustituir al registro de ficheros en la Agencia de Protección de Datos. Este registro es obligatorio para empresas con más de 250 trabajadores.

11.- Siguen vigentes las figuras del Responsable y del Encargado del Tratamiento, pero se acentúa en la obligación invigilando del Responsable sobre el cumplimiento del Encargado en el tratamiento de los datos personales, así como de las posibles subcontrataciones. Por tanto, a controlar a las empresas subcontratadas.

12.- Ojo con las contrataciones de proveedores tecnológicos: asegurarse de contratar empresas con tratamiento de datos en Europa. Si son empresas de USA, que al menos estén en Privacy Shield o con una habilitación de la Agencia de Protección de Datos.

13.- Evaluaciones de Impacto: debe realizarse por el Responsable si hay alto riesgo en el tratamiento de datos. En este caso, estamos ante empresas que deben tener en plantilla a especialistas en la gestión de la LOPD.

14.- Medidas de Seguridad: desaparecen como tal. Se exige que se tomen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Nuestra recomendación es que se sigan manteniéndose porque demostrarán Diligencia en el tratamiento, elemento esencial en el RGPD

15.- el Delegado de Protección de Datos

El Delegado de Protección de Datos

Es el gran protagonista del RGPD, por ser una figura nueva. Es obligatorio cuando hay tratamiento de datos sensibles a gran escala, que requiere de una observación habitual y sistemática de los interesados. Tiene que tener un perfil jurídico pero no es necesario tenga la titulación de abogado. Por tanto, es una función dirigida a determinadas empresas.

Las Cinco Conclusiones sobre el RGPD con las que debes quedarte en la memoria

  1. El RGPD europeo será completado en un breve plazo de tiempo por una nueva Ley de LOPD española. Esperemos que la filosofía europea de unificar y simplificar no se deteriore con la legislación de cada país y volvamos para atrás, es decir, a una nueva maraña de leyes, encabezada por la rigidez española.
  2. El RGPD europeo cambia los conceptos y la forma de realizar el tratamiento de los datos personales. La hace más sencilla pero observamos más inseguridad jurídica al dejar muchos temas a interpretación.
  3. Es imprescindible tomarse en serio el tratamiento de los Datos Personales, por lo que es necesario que la empresa y sus empleados se involucren en su cumplimiento, por lo que es recomendable asesorarse por un especialista en LOPD.
  4. Los conceptos que consideramos más importantes en el RGPD europeo son: Consentimiento expreso, y demostrar Diligencia demostrable en el Tratamiento de los datos personales,
  5. Primeras Medidas si ya cumples con la LOPD: Implantar el consentimiento expreso, Formar a los empleados, Informar a los empleados de las funciones y obligaciones en LOPD, Reformular los contratos con clientes y proveedores, y Reformular los contratos con las subcontratas que son los Encargados del tratamiento (servicio de limpieza, mantenimiento informático, asesores, y todo aquel que tenga acceso a los datos de la empresa y los maneje para la realización del servicio que presta).

Desde ya:

Mentalízate de que la LOPD ha venido para quedarse y que tener una empresa lleva consigo de forma inherente proteger los datos de las personas físicas realizando un tratamiento de los datos personales a través de una gestión Diligente y demostrable, cumpliendo con el RGPD europeo y la ley española.

¿estás preocupado por tus datos personales cuando se los das a una empresa?  Pues se consciente que tus clientes están preocupados por sus datos personales cuando te los facilitan para que les vendas un producto o les prestes un servicio.

Como Controller Financiero de la empresa, me preocupo por el cumplimiento de la Protección de Datos en la empresa al ser un factor de riesgo económico importante, quizás e incluso, para su supervivencia.