Introducción al RGPD. ¿Qué cambia con respecto a la LOPD?

 In Sin categoría

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos o RGPD. Al tratarse de un reglamento europeo su aplicación es directa y por lo tanto todas las empresas están obligadas a su aplicación y cumplimiento en paralelo con la LOPD, si bien, al tratarse el primero de una norma más avanzada y restrictiva, digamos que eclipsa a la ya obsoleta y estéril LOPD cuya actualización se quedó ya hace meses en el tintero.

El RGPD va a suponer un tsunami en la concienciación que las empresas y los ciudadanos tenemos de la información de carácter personal en tanto que, no olvidemos,  su privacidad y confidencialidad es un Derecho Fundamental  según recoge la propia Constitución y consolida el nuevo reglamente europeo. De alguna manera, durante la tecnificación de nuestros hábitos y relaciones, en especial con la aparición de las redes sociales, hemos relajado nuestra sensibilidad hacia la privacidad de nuestros datos personales a cambio del uso y disfrute de servicios “gratuitos”, como el propio email, Facebook, Whatsapp, Twitter, Instagram, etc. Sin embargo sí que hay un pago en modo de cesión -de forma consciente o inconsciente- todo tipo de información acerca de nuestras vidas y que los proveedores de estos servicios emplean como activo para conseguir el retorno de sus servicios. Por ejemplo, pueden proveer a empresas estrategias de marketing altamente segmentado y eficaz en tanto que saben lo que nos gusta, nuestras aficiones, dónde nos movemos y por lo tanto qué nos gusta consumir.

Pero aquí no acaba todo, estos brokers de la información pueden llegar a detectar que algo va mal con nuestra pareja o que algo pasa con nuestras vidas antes incluso de que nosotros lleguemos a ser conscientes. Llegar a ser entidades completamente monitorizadas no está tan lejos; así, China está probando aplicaciones móviles para la ciudadanía que permite valorar a cada habitante y controlar así la calidad de los hábitos de cada persona. Ciertamente inquietante.

El nuevo reglamento pretende atajar con fuerza la laxitud actual en el manejo de datos de carácter personal, esto es, cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. En otras palabras, cualquier información o conjunto de datos que de forma directa o combinada permitan identificar a personas y por lo tanto conocer o inferir datos de ellas. El manejo de esta información debe de ser totalmente transparente y trazable por sus titulares o interesados, quienes a partir de ahora deben aportar consentimiento expreso e informado para su tratamiento y cuentan con el poder de disposición sobre los datos: derecho de acceso, derecho de rectificación o supresión, derecho de limitación del tratamiento, derecho de oposición y derecho a la portabilidad de sus datos. Este giro de tuerca acentúa el deber de información  que va a suponer importantes cambios en el modo en que las empresas responsables de los datos recaban, almacenan y tratan la información de carácter personal, obligaciones que así mismo trasladarán mediante contrato a las empresas proveedoras encargadas de implementar estos procesos –generalmente empresas de carácter técnico como propiamente GeoActio-. Por lo tanto se mantienen las figuras del titular, el responsable y el encargado de la  información, si bien surge un nuevo papel: las empresas de mayor riesgo en el tratamiento de datos de carácter personal se van a ver obligadas a disponer de un Delegado de Protección de Datos (DPO), un nuevo puesto que surge de la necesidad de contar con personal especializado en implantar y mantener todos los procesos que implica el RGPD.

lopd-vs-gdpr

Resumiendo, la cosa se pone seria. El incumplimiento del reglamento va a conllevar, además, fuertes sanciones a las empresas de hasta un 4% del volumen total de su negocio y con un máximo de 20 millones de euros (aviso importante a actores como Google, Amazon, Facebook, etc.), sin descartar la responsabilidad penal de las personas jurídicas. Sin embargo el reglamento está enfocado a lograr una proporcionalidad y por lo tanto el nivel de exigencia que pueda tener una empresa como Google no se va aplicar por igual a una pyme de 20 trabajadores (algo que sí ocurría con la LOPD): se van a evaluar los conceptos de riesgo e impacto claramente ligados a la naturaleza y trascendencia de los datos que se manejen, su cantidad, el ámbito geográfico, etc. Se diluyen de alguna manera la catalogación de los niveles básico, medio y alto de criticidad de la información típicas de la LOPD; ahora lo que importa es el impacto que pueda tener que dicha información confidencial se filtre o divulgue. Por ejemplo, los datos identificativos de una lista de personas pertenecen comúnmente al nivel básico, pero si se trata de una lista de espías en misión dicha información adquiere otra trascendencia. Se recomienda –a veces será obligatorio- evaluar la información, las amenazas, la probabilidad de filtrado y su posible impacto. Después hay que definir y poner en práctica los mecanismos para mitigar o eliminar dichos riesgos; aquí entra en juego las medidas y procedimientos de seguridad que las empresas tengan implantados y en este sentido queda, en general, muchísimo por mejorar.

En línea con lo comentado, los ficheros típicos de la LOPD se sustituyen por el registro de actividades de tratamiento, un documento mucho más elaborado en el que se recoge cómo se recaban los datos de carácter personal, para qué fines, cómo se van a tratar, qué posibles cesiones a terceros o qué terceros pueden tener acceso para prestarnos un servicio, cuánto tiempo se van a disponer de ellos, etc. En principio las empresas responsables de menos de 250 trabajadores no están obligadas a mantener este registro salvo que efectivamente procesen un volumen y/o criticidad de la información determinada.

En conclusión, la llegada del RGPD supone un importante salto cualitativo respecto a la LOPD y una mayor concienciación en la gestión de los datos de carácter personal, obligando a las empresas a prestar mucha más atención e invertir recursos y personal para garantizar su cumplimiento. Entre las principales medidas las empresas van a tener que poner el foco en la seguridad de sus sistemas y en los procedimientos para mitigar el riesgo de filtración y/o robo de datos, lo que generalmente va a suponer un nuevo enfoque en las medidas técnicas y organizativas. Las consecuencias por incumplimiento podrán ser importantes, no sólo a nivel sancionador sino también reputacional, ante la obligación de reportar estas violaciones no sólo a la autoridad competente sino también a los interesados en el caso de que sea probable de que el incidente entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Recent Posts

Leave a Comment

Contáctanos

Puede enviarnos un correo electrónico y nos pondremos en contacto contigo lo antes posible.