25 Jun 25 mayo 2018: ¿Qué Ley protegerá mis datos y cuánto costará a las empresas no protegerlos?
El petróleo del siglo XXI son los datos. Una frase tan sencilla tiene unas consecuencias inimaginables, al menos por mí. Hoy no hablaré del Big Data, Small Data, los datos estructurados, su analítica, las ventajas de invertir en estas tecnologías, los 80.000 millones de nuevos dispositivos que producirán datos al conectarse a Internet hasta 2020, etc. Hoy me quiero referir a algo muy concreto que nos afectará a todos a partir del próximo año. El 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos Europeo. Para los amigos de las siglas: RGPD. España tiene que aprobar en los siguientes doce meses una nueva Ley que contemple dicho Reglamento: la Ley Orgánica de Protección de Datos. Se debería aprobar antes del próximo 25 de mayo, para dar tiempo suficiente a las compañías a adaptarse a ella. Y… se preguntarán: ¿cómo afecta esta ley a las empresas?:
Multas de hasta un 4% de su facturación anual, a aquellas empresas que no cumplan la nueva Ley de Protección de Datos.
Su primer reflejo habrá sido poner una calculadora en su mano izquierda para teclear cuánto supone esta multa para su compañía. Esperen. No lo hagan todavía. Hay más.
Los principios que afectan al tratamiento de los datos personales y que las empresas deberán cumplir son:
- Calidad: Sólo podrán utilizarse para una finalidad determinada. No podrán recabarse datos que sean excesivos.
- Información de la existencia de un fichero o tratamiento de datos personales.
- Legitimación del Tratamiento de Datos. El tratamiento de tus datos personales puede realizarse si prestas el consentimiento previo para ello. Además del consentimiento, existen otra serie de supuestos que permiten el tratamiento de datos.
- Seguridad. Cualquier responsable que recabe y trate tus datos de carácter personal debe adoptar una serie de medidas de seguridad, de carácter técnico y organizativo para proteger tus datos.
- Cesiones a terceros. Tus datos de carácter personal solo pueden ser cedidos a terceros si previamente te han solicitado tu consentimiento. Existen una serie de excepciones al respecto.
- Datos especialmente protegidos, es decir, que revelan ideología, afiliación sindical y creencias. Los que hacen referencia al origen racial, a la salud y a la vida sexual. Los que hacen referencia a la comisión de infracciones penales o administrativas.
Otros aspectos de la nueva Ley serán, por ejemplo, la normativa como instrumento para la protección de datos en las sociedades digitales; la importancia de los análisis de riesgos, los códigos de conducta, las evaluaciones de impacto; la figura del delegado de protección de datos y los esquemas de certificación. Precisamente, la Agencia está trabajando con la Entidad Nacional de Acreditación (ENAC) en la implantación de un esquema de certificación de profesionales que accedan al puesto de Delegado de Protección de Datos.
La puesta en marcha de esta certificación está prevista a lo largo de este año y, si bien no será un requisito indispensable para acceder a la posición de Delegado de Protección de Datos, la AEPD pretende que sirva como mecanismo riguroso para dar a las entidades garantías suficientes sobre la cualificación y capacidad profesional de los candidatos.
Afortunadamente, para contribuir a su cumplimiento, la AEPD (Agencia Española de Protección de Datos) ha elaborado una herramienta dirigida a «nano-pymes» que estará lista para finales de junio. Actualmente, se encuentra en fase de pruebas y se ha ofrecido a diversas asociaciones empresariales como CEOE, CEPYME y colegios profesionales para que lo evalúen y puedan aportar sus mejoras.
Según la AEPD el objetivo es que las pymes puedan constatar, en primer lugar, que los tratamientos de datos que llevan a cabo pueden considerarse de bajo o muy bajo riesgo y que obtengan los documentos mínimos indispensables para estar en disposición de demostrar que cumplen con el Reglamento, que será aplicable el 25 de mayo de 2018 (registro de actividades de tratamiento, cláusula informativa y un listado de las medidas de seguridad mínimas, entre otros).
Las pymes suponen el 99,8% del tejido empresarial español y la persona física es la forma predominante en la constitución de una empresa. Por ello, la AEPD considera especialmente relevante ofrecerles las herramientas necesarias para que puedan conocer, de la manera más sencilla posible, las implicaciones y los cambios que supone la nueva normativa, de forma que puedan tomar las medidas necesarias para cumplir con ella.
Los ciudadanos también deberán cumplir
La Agencia también ha presentado ‘Protección de Datos: Guía para el Ciudadano’, un documento que incorpora numerosas referencias al nuevo Reglamento. La Guía repasa los tradicionales derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), la forma de ejercerlos y los plazos legales en los que debe obtenerse respuesta.
Asimismo, recoge de forma sencilla cómo y en qué casos puede un ciudadano ejercitar el derecho al olvido, cómo puede solicitar la eliminación de fotos y vídeos de internet, o en qué consiste el nuevo derecho a la portabilidad.
Para finalizar, recomiendo visitar esta web de la AEPD por ser un completo tutorial de lo que se avecina, imprescindible para empresas y ciudadanos: https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php
No hay comentarios