Guía de adaptación al Reglamento General de Protección de Datos

Tabla de Contenidos

¿Qué es el Nuevo Reglamento de Protección de Datos?

Desde el día 25 de mayo de 2018, tanto las empresas como sus clientes e incluso los propios internautas a la hora de visitar y almacenar su información en diversas webs, han experimentado las nuevas actitudes que hay al respecto debido a la nueva ley de protección de datos.

Dicha ley, conocida como el Reglamento General de Protección de Datos (RGPD), se trata de una nueva medida de protección aplicable a todas las empresas europeas que trabajen con datos personales y públicos, ya sean de sus clientes como de sus trabajadores, con la que se pretende tratar esta información de manera más segura y regulada.

Principales cambios que afectan a la Ley Orgánica de Protección de Datos

Para poder cumplir con esta legislación debidamente, se han dado grandes modificaciones en los ámbitos legales y empresariales para evitar posibles sanciones y violaciones de la intimidad de los clientes y usuarios.

La aplicación de este Reglamento Europeo de Protección de Datos ha obligado a la Ley Orgánica de Protección de Datos (LOPD) a tener que modificar su contenido para poder adaptarse a estas nuevas medidas de protección de la información.

La Agencia Española de Protección de Datos

Anteriormente, la LOPD exigía que los datos de cualquier usuario o cliente fueran registrados en la Agencia Española de Protección de Datos (AEPD) por parte de los responsables que iban a encargarse de tratar con ellos.

Sin embargo, actualmente, no hay que registrarlos en esta institución nacional sino que serán estos mismos encargados los que trabajarán y controlarán estos datos siendo ellos responsables de lo que les suceda y sin involucrar a más personas.

Aplicación legal

Antes de las reformas generadas por la llegada de este nuevo reglamento, a efectos legales cuando una persona consideraba que se habían utilizado sus datos de forma indebida, la situación derivaba a una posible interpretación sobre lo que había sucedido y sobre si la Ley Orgánica de Protección de Datos debía ejecutarse o no.

Actualmente, gracias a este nuevo reglamento cualquier opción a la mala interpretación o al debate queda invalidada. Los datos de cualquier persona que pertenezca a la Unión Europea (o acceda a una web desde ella sin tener que ser la empresa perteneciente a Europa) serán controlados en todo momento por el dueño de la información, en ningún momento, se le puede negar el acceso a ellos o se deben derivar a otros usos para los que no han sido cedidos.

Posible intromisión en los datos

Derivado de la afirmación expuesta en el punto anterior de que deben existir unos responsables en una empresa que son los que han acordado tratar los datos sensibles de sus clientes o de sus trabajadores o simplemente de los usuarios que visitan su web y, que no están obligados a registrar estos datos en la AEPD para que no haya más personas involucradas; estas mismas personas deben notificar en una plazo máximo de 72 horas cualquier anomalía acontecida con los datos, como la posibilidad de que otro miembro del negocio esté accediendo a ellos sin dicha autorización pertinente.

Será en este momento cuando la Agencia Española de Protección de Datos deba ser avisada a la vez que se aplican las diferentes medidas de protección elaboradas por cada firma o institución.

Obligaciones de la empresa (evaluaciones de impacto, protección de los datos sensibles, certificaciones…)


Cualquier empresa, dando igual en la medida que lo haga, que trabaje con datos sensibles o públicos de otras entidades o personas, se encuentra bajo este nuevo marco legal.

Por ello, es muy importante que preste atención a todas las indicaciones y nuevas normas que implica esta ley. Es muy probable que, si estamos acostumbrados a otros márgenes legales y nunca hemos tenido problemas, creamos que actuamos bien pero quizás haya pequeñas fisuras de las que nos seamos conscientes y vayan a jugarnos una mala pasada.

Así que, para evitar que esto suceda, a continuación van a relatarse las diferentes obligaciones que tiene una empresa de esta índole desde el día 25 de mayo de 2018.

Privacidad en el diseño

¿Qué quiere decir esto? Que es muy probable que tengas que reconstruir de nuevo la web donde ofrezcas tu servicio empresarial adaptándote a una nueva modalidad en donde los usuarios que naveguen por ella o dejen sus datos a la hora de solicitar un producto estén protegidos desde el primer momento.

Es más, desde ese día todo el mundo ha visto que, al entrar en una página web por primera vez, le aparece un aviso para que pueda aceptar los nuevos acuerdos de privacidad y de protección para sus datos.

Registro interno de los datos

Las empresas deben tener una lista con toda la información de los diferentes tratamientos que se deriven del uso de los datos dentro de la entidad y esta lista debe ser gestionada por un responsable, según indica el artículo 30 del RGPD.

En este documento, más concretamente, la información debe aparecer de la siguiente manera:

  • Los datos de contacto de la persona responsable de tratar con esta información y los datos del delegado de protección de datos (DPD o DPO). Ambas figuras se encargarán de salvaguardar y proteger estos datos.
    La finalidad del uso de dichos datos, para que se los han cedido y cómo va a trabajar con ellos.
  • Descripción de los datos cedidos por el cliente o usuario
  • Un desglose de las diferentes áreas o destinatarios que pueden tratar con esos datos debido al tratamiento que se les va a dar a esto
  • Las fechas aproximadas de cuánto van a tardar estas gestiones y, por ende, cuánto tiempo van a tener acceso a estos datos
  • Las medidas de seguridad que van a llevarse a cabo para salvaguardarlos.

Un dato importante a saber sobre este apartado es que este registro no es obligatorio cuando una entidad tenga menos de 250 trabajadores. Sin embargo, esto no significa que no deba llevar un registro.

Si la empresa consta de menos de 250 trabajadores, debe tener el mismo registro si:

  • Las funciones realizadas en algún aspecto pueden suponer un riesgo para las libertades de la persona interesada así como para su intimidad
  • El tratamiento de estos datos tienen relación con infracciones penales
  • Estos datos son de carácter personal. Entendiendo como carácter personal:
  1. La etnia
  2. La ideología política
  3. La religión
  4. Alguna afiliación sindical
  5. Datos biológicos
  6. Datos relativos a la vida sexual

Responsabilidad proactiva

Este concepto (o Accountability) engloba las diferentes medidas de seguridad que una empresa debe llevar a cabo para prevenir ciertos problemas que puedan dañar, vulnerar los datos o infringir alguna de las nuevas normas.

Hay que tener en cuenta algo importante, en el Reglamento Europeo de Protección de Datos se especifica que si una empresa u organización actúa cuando la infracción ya ha sido cometida, esto no ha formado parte de una estrategia de control preventiva y por lo tanto, puede ser sancionada duramente.

Por ello, es necesario que todas las empresas que se vean afectadas por este reglamento tengan un análisis de riesgos realizado de forma preventiva y unas medidas de control y seguridad que pongan al día las estrategias que quieren aplicarse para ver su efectividad.

Evaluaciones de impacto

Entre los diferentes tipos de análisis de riesgos, el Reglamento General de Protección de Datos destaca las evaluaciones de impacto.

Estas evaluaciones están diseñadas para permitir que los diferentes responsables de los tratamientos de datos, como el delegado de protección de datos (figura de la que hablaremos posteriormente en profundidad) y deben ser ejecutadas antes de comenzar a operar y tratar los datos.

Primero, se deben determinar cuántas posibilidades existen de que la información con la que se va a trabajar pueda encontrarse en una situación de peligro. Eso derivará las diferentes medidas de seguridad que pueden preverse y prepararse.

  • ¿Esto es obligatorio? Es recomendado realizar este tipo de medidas de seguridad siempre. Sin embargo, solo son obligatorias cuando:
    Pueda existir un alto riesgo de peligro debido a la tipología de los datos, en donde se vea involucrada la integridad de la persona involucrada
  • Cuando exista una evaluación sistemática (como, por ejemplo, cuando se elabora un perfil personal) de los mismos debido al tratamiento que se les ofrezca
  • Si hablamos de datos que deban ser protegidos con máxima seguridad (situaciones que afecten a menores de edad o a personas condenadas por cometer alguna infracción penal)
  • Cuando existan tecnologías consideradas invasivas de por medio. En donde destaca la geolocalización o la vigilancia a gran escala.

Las empresas obligadas a aplicar una evaluación de impacto son las farmacéuticas, los hospitales, las que se dedican a la seguridad privada y a la vigilancia, las comercializadoras de energía, las que trabajen con e-commerce y los colegios.

Transparencia en la gestión

Como último punto a tratar dentro de este apartado, es importante destacar que la transparencia en el tratamiento de los datos de los clientes debe ser absoluta, ¿qué quiere decir esto? Que todas las compañías e instituciones deben:

  • Informar a cada cliente o trabajar sobre cómo se están recopilando y tratando sus datos
  • Explicarles los derechos que tienen con respecto a ellos y cómo pueden aplicarlos

Derechos del cliente

Al igual que se habla de unas obligaciones por parte de las empresas que entren dentro de la aplicación de esta nueva normativa, para mejorar la situación también los clientes pueden beneficiarse de diferentes derechos que ayuden a la protección de los datos pero, sobre todo, a su comodidad y seguridad personal.

Derecho a la limitación y al olvido

Gracias a esto, una persona tiene la posibilidad de borrar o suprimir la información que considere oportuna por el motivo que sea durante el transcurso de tiempo con el que se estén tratando sus datos.

Con este tipo de modificaciones se pretende limitar la capacidad de difundir por los buscadores de Internet la información de cada persona que no estén interesadas en que esto suceda. Por ello, actualmente, un usuario puede acceder a una entidad encargada en gestionar un buscador como puede ser Google y solicitar este derecho sobre unos datos concretos.

Portabilidad de datos

La persona interesada puede solicitar la portabilidad de datos de una empresa a otra por dos motivos diferentes:

  • Obtener en formato electrónico una copia acerca de los datos que se están tratando con consentimiento de un cliente. De esta manera, el beneficiario obtendrá un documento con sus datos para poder tenerlo en su poder
  • Puede solicitar dicho documento para enviárselo a otra empresa que trabaja con datos. Gracias a este derecho, el primer servidor que trató con sus datos no puede incidir o poner ningún tipo de impedimento para que esta acción no se efectúe.

Consentimiento explícito

Con consentimiento explícito se hace referencia a la importancia de que un cliente o usuario, ya sea de forma verbal o escrita, deje clara todas las condiciones del acuerdo que quiere tener con la empresa, qué datos quiere cederles y en qué manera. No debe tener lugar a segundas lecturas ni a fallos.

En el RGPD se cita un término para referirse a este tipo de consentimiento que es una clara acción afirmativa. Esto quiere decir que los consentimientos de Internet a los que estamos acostumbrados en donde en todas las páginas ponen la misma información y el usuario decide ‘acepto’ o ‘no acepto’, ya no sirven.

Ahora, las diferentes solicitudes para exigir este consentimiento por parte de un cliente deben:

  • Tener todos los parámetros bien definidos y detallados para que todos puedan entender qué se les está pidiendo exactamente y aceptarlo o no
  • En dicha manifestación de consentimiento, los responsables de la organización correspondiente deben ofrecer sus datos al público al que quieran dirigirse para ser conocidos
  • Ofrecer la oportunidad de ser revocables y que ninguna persona tenga ningún impedimento para retirar dicho consentimiento

El consentimiento explícito será necesario cuando una empresa deba legitimar el uso de los datos de un cliente. Esto quiere decir que hay situaciones como la firma de un contrato o cuando uno está cumpliendo con su obligación legal como ciudadano o trabajador, que dicho consentimiento no será requerido porque esta tramitación de los datos es necesarias para ejecutar la acción que todos vienen buscando.

Figura del Delegado de Protección de Datos


El delegado de protección de datos es una figura exigida dentro del RGPD que se encarga dentro de una empresa de trabajar de forma directa con los datos o la información tanto sensible como la que no y salvaguardar su protección.

Funciones del delegado de protección de datos

¿Cuál es el objetivo del delegado de protección de datos? Entre sus funciones y responsabilidades para proteger los datos, podemos destacar que su papel es el de:

  • Controlar y vigilar que se cumpla debidamente con el RGPD mediante la aplicación de técnicas preventivas y seguimientos de control que aseguren el correcto trato de los datos con los que se trabajan en una empresa.
  • Ayudar y asesorar al resto de miembros que trabajen junto a él en el tratamiento de la información y los datos para que todos en conjunto generen un buen uso de estos datos y cumplan con la normativa vigente.
  • Ejecutar las evaluaciones de impacto impuestas previamente antes de comenzar a trabajar con estos datos
  • Ayudar a los responsables de los registros a una buena ejecución del mismo y a que este se mantenga actualizado
  • Avisar si considera que puede existir un peligro o vulneración dentro de algún área o sobre algunos datos concretos, aportándole a la dirección de la compañía las medidas pertinentes para tratar esta situación
  • Coordinar a la dirección o gerencia de la firma con el departamento encargado de trabajar con los datos para que exista una comunicación transparente y actualizada entre ambas partes.

Requisitos para trabajar como delegado de protección de datos

Primero, debes tener en cuenta de que una buena formación basada en el Nuevo Reglamento de Protección de Datos es esencial para conocer toda esta nueva legislatura. A día de hoy, gracias a la modalidad de los cursos online es muy fácil conseguir en pocas horas conseguir todo lo necesario, no solo para convertirte en delegado de protección de datos sino para ejercer cualquier profesión en la que trabajes con esta información.

El delegado de protección de datos debe tener una gran formación en conocimientos legales genéricos no solo en este reglamento. Este factor, le dará valor a la hora de trabajar con los clientes, porque así ellos se sentirán seguros y cómodos al ceder sus datos y su información.

Las personas interesadas en especializarse en esta profesión necesitan acreditaciones certificadas para seguir ofreciendo una credibilidad para los posibles clientes. Dichas certificaciones están basadas en un esquema de certificación para delegado de protección de datos que ha expuesto la AEPD.

Esquema de certificación para delegado de protección de datos

Lo primero que hay que saber en este apartado, es que la Agencia Española de Protección de Datos es la entidad responsable del esquema y, por ello, de promoverlo.

Sin embargo, la Entidad Nacional de Acreditación es la institución que ha designado la AEPD para que se encargue de ponerse en contacto con las diferentes entidades para ofertar las acreditaciones correspondientes para trabajar en esta profesión.

Y, para prepararte en profundidad para esto, es necesaria una buena formación.

Gracias a la modalidad de cursos online podrás cursar un Curso Online del Reglamento General de Protección de Datos (RGPD) que te ofrezca los conocimientos necesarios para ello. Sin embargo, posteriormente, expandiremos la información acerca de qué ventajas y habilidades te permitirá este curso.

Retomando la estructura y gestión del esquema, este consta de:

  • Una marca del esquema, con sus correspondientes normas basadas en la tipología de actividades laborales de la empresa. En dicho documento se desarrollarán las actividades que un delegado general de protección de datos debe realizar entre sus funciones
  • Existirá un comité que se encargarán no solo de desarrollar las pautas del mismo esquema sino de revisarlo y validarlo de forma periódica para ver si se deben modificar algunos apartados o añadir otros.

Los delegados de protección de datos que cuenten con esta certificación deben contar con las siguientes competencias, entre otras:

  • Cumplir con las diferentes limitaciones expuestas en el esquema y preservar los derechos de los clientes
  • Conocer las bases jurídicas de todas las ideas desarrolladas y puestas en práctica por las empresas
  • Diseñar modelos informativos tanto para los empleados que trabajen con datos como para sus clientes
  • Coordinar al grupo de trabajo de esta área. También podrá contar con ciertos poderes como el de poder contratar por sí mismo a los encargados correspondientes
  • Realizar auditorías relacionadas con la protección de los datos
  • Elaborar un código ético que debe plasmarse en las tareas llevadas a cabo por la empresa

Empresas que están obligadas a contar con un delegado de protección de datos

El contar con un delegado de protección de datos es obligatorio en los siguientes casos:

  • En los consejos generales de los colegios profesionales que están regulados por la Ley 2/1974, de 13 de febrero. Así como en los centros docentes, tanto públicos como privados
  • Los centros sanitarios que trabajen con los historiales clínicos de los usuarios, no importa si se habla de una clínica o un hospital
  • Cualquier empresa o institución que trabaje con redes sociales y utilicen las nuevas tecnologías para sus bienes y servicios
  • Cualquier empresa dedicada a la información que trabaje elaborando perfiles de diferentes usuarios o clientes
  • Las diferentes entidades financieras, las empresas de inversión o las responsables de los diferentes ficheros utilizados para la solvencia del crédito o prevención de posibles fraudes
  • Las entidades aseguradoras y reaseguradoras
  • Las empresas encargadas de diferentes actividades relacionadas con el sesgo de la publicidad o el comercio de la energía eléctrica

Sin embargo, aunque la empresa que diriges o la entidad a la que pertenezcas no entren en ninguna de estas categorías, es más que recomendable que si trabajas con datos de terceros, cuentes con una figura como esta.

El delegado de protección de datos es un elemento imprescindible si quieres cumplir con todas las nuevas reformas existentes después de la aprobación del Nuevo Reglamento de Protección de Datos y que tu empresa no sufra ningún tipo de consecuencias.

Formación para conocer el RGPD

A continuación, va a exponer la importancia de una buena formación para mantenerte al corriente de todas estas novedades que están en vigor desde el día 25 de mayo.

Si bien es cierto que la formación en este sector no es obligatoria, estamos ante una situación de cambio en donde de forma concreta se han expuesto una nuevas pautas de seguridad sobre el tratamiento de los datos de clientes y usuarios que una empresa debe tener en cuenta y con los que debe cumplir si no quiere verse sometida a graves problemas.

Por ello, si te dedicas o quieres dedicarte al tratamiento de la protección de datos, ya sea como delegado de protección de datos o como miembro del equipo encargado, es necesario que realices el Curso Online del Reglamento de Protección de Datos, solo así conocerás todo lo imprescindible de la nueva normativa.

Con este curso online podrás conocer cuáles son todos y cada uno de los nuevos principios exigidos para el tratamiento de los datos (que no son pocos), cómo funciona el reglamento europeo de protección de datos para que no tengas ninguna duda en referencia a sus diferentes artículos y tratados.

Además, aprenderás en profundidad cuáles son los derechos de los clientes y usuarios y, por ello, cómo debes enfocarlos, explicarlos y cómo utilizarlos para generar nuevos contratos o medidas preventivas de seguridad que son necesarias y obligatorias sino quieres verte multado.

En definitiva, con el Curso Online del Reglamento de Protección de Datos aprenderás todo acerca de las diferentes autoridades de control, los mecanismos de cooperación y las maneras más óptimas para generar las evaluaciones de impacto que necesita tu negocio.

No lo dudes y comienza ya tu formación para adaptarte a los nuevos tiempos.

Sanciones

Para finalizar es importante conocer cómo funcionan las multas y sanciones dentro de este nuevo Reglamento General de Protección de Datos.

El régimen sancionador que menciona el Reglamento General de Protección de Datos en el artículo 83.2 de su manifiesto determina que si no se cumple con los requisitos y las nuevas normas impuestas para mantener y garantizar la protección de los clientes, sancionará a las empresas y a las organizaciones con impactantes sanciones como las siguientes:

  • Una multa puede ir desde los 10.000.000€ o hasta el 2% del volumen total de lo generado por el negocio durante el último año laboral si se vulneran las diferentes obligaciones que tiene la empresa. Es decir, las que provienen por parte del responsable y/o encargado y las que derivan del control y la certificación de las medidas preventivas.
  • La multa se duplica hasta los 20.000.000€ o el 4% del volumen de negocio si:
    1. La vulneración se ejerce sobre los principios impuestos para el tratamiento de la protección de datos o los derechos del cliente o usuario
    2. No existe una transparencia de forma internacional
    3. Se incumple con alguna de las resoluciones expuestas
  • Existen otras sanciones relacionadas con el ámbito operativo como lo son la prohibición de las transferencias de datos a nivel internacional o el uso de los mismos por parte de la plantilla que los recolectó.

La determinación de optar por un tipo de sanción u otra dependerá de factores como la naturaleza del problema, su tiempo de duración, la intencionalidad por parte de la empresa y la tipología de esta, entre otros aspectos.

Si no quieres vuelto en un problema de grandes dimensiones debido a la falta de formación es hora de aprender todo lo que se necesita saber sobre el Reglamento General de Protección de Datos y empezar a practicarlo sin fisuras en el trabajo.