Las empresas deben tomar medidas para adaptarse al nuevo reglamento general de protección de datos, que se aplicará a partir del próximo 25 de mayo.
El 25 de mayo de 2016 entró en vigor el nuevo reglamento general de protección de datos (RGPD). Sin embargo, y dados los importantes cambios que hay que realizar, la Unión Europea dio dos años de plazo hasta que comenzara su plena aplicación.
Los expertos recomiendan ponerse al día antes de que llegue la fecha límite, ya que hay tiempo para estudiar si las medidas implantadas son suficientes y eficaces. Desde el 25 de mayo, los errores pueden resultar muy caros, ya que el plan de protección de datos será obligatorio.
"El RGPD hace hincapié en el principio de la responsabilidad proactiva de las empresas, que se deben adaptar y adecuar en cada momento al tipo de datos que manejan y los tratamientos que realizan", subraya Fernando García, socio del área de mercantil de AGM Abogados, que recuerda que la normativa prevé sanciones mucho más duras: "Se han incrementado de manera exponencial las posibles multas hasta un máximo de 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio anterior".
Análisis de riesgos: Un programa estándar ya no vale para asegurarse de cumplir con el RGPD. Tanto es así, que en el caso del tratamiento de datos especialmente sensibles es necesario llevar a cabo un análisis de riesgos y evaluaciones de impacto. Se trata de la vía más óptima para baremar los posibles peligros y diseñar las medidas adecuadas según su nivel.
Almacenamiento de los datos: A partir del 25 de mayo, los datos tienen que almacenarse siempre de manera anónima y bajo seudónimo. Por lo tanto, las empresas deben adaptar sus sistemas para que el archivo de estas informaciones se haga de esta forma.
Obtención del consentimiento: Una de las principales novedades del RGPD es, según Ana García Lucero, letrada de AGM Abogados, el cambio en la obtención del consentimiento de los interesados: "Ya no será posible el tratamiento de datos basados en consentimientos tácitos, sino que será necesario disponer del consentimiento expreso, explícito y específico de los interesados". Por lo tanto, si no hay una declaración del interesado, es necesario, al menos, una acción positiva mediante la cual manifieste su conformidad. Para conseguirlo, el plan es claro, según la experta, aunque puede llegar a ser una tarea ingente dependiendo del volumen de información. Así, en primer lugar, los responsables del tratamiento deben revisar los consentimientos que ya tienen para eliminar aquellos datos que ya no sean necesarios. Después, deberán recabar el consentimiento expreso de aquellos datos, cuyo tratamiento se desee mantener. Como último paso, hay que modificar las cláusulas informativas de recogida del consentimiento para la futura información que se quiera guardar.
Información más completa: A partir del 25 de mayo, la información que se dé a los usuarios debe ser mucho más completa, detallada y específica a la que se facilitaba hasta ahora con la anterior Ley Orgánica de Protección de Datos 15/1999. Sin embargo, el RGPD, consciente de que las cláusulas podrían llegar a ser excesivamente extensas, permite que la información se facilite en dos capas: una primera con la más básica en el momento de la obtención del consentimiento, para después ofrecer información adicional específica y detallada, como puede ser la identificación del delegado de protección de datos, transferencias internacionales o cesiones, entre otros.
Ejercicio del derecho de los interesados: El RGPD introduce también novedades en relación a los derechos de los interesados y el proceso de ejercicio de los mismos. "Se acuñan algunos nuevos, como son el derecho a la portabilidad de los datos o el derecho al olvido", asegura García, que explica que los responsables del tratamiento deben comenzar a implementar sistemas y mecanismos (electrónicos en la medida de lo posible) a fin de facilitar a los interesados precisamente el ejercicio de sus derechos.
Brechas de seguridad: Cuando haya cualquier problema de seguridad, hay que comunicar la incidencia a la Agencia Española de Protección de Datos, pero también a los propios interesados "cuando haya puesto en peligro sus derechos y libertades".
Un nuevo profesional
Ante el aumento de las exigencias a la hora de que las empresas traten los datos de terceros, el reglamento general de protección de datos ha decidido profesionalizar la tarea que hasta ahora realizaba, en la mayoría de los casos, el responsable de datos. Para ello, ha creado la figura del delegado de protección de datos (data protection officer, en inglés), un profesional cuya presencia será obligatoria tanto para los organismos públicos como para aquellas compañías "cuya actividad suponga la observación sistemática y habitual de datos a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales"