lunes, 20 de junio de 2016

Reglamento Europeo de Protección de Datos


Tras años de revisiones, por fin la Unión Europea, a través del Parlamento Europeo y el Consejo ha publicado la versión definitiva del Reglamento Europeo de Protección de Datos. Antes de entrar en detalle de qué implica, la pregunta que a muchos de nosotros nos viene a la cabeza es… ¿qué ocurre con la LOPD? ¿Sigue vigente? ¿Queda derogada? ¡¡¿¿Qué hacemos??!!
Afortunadamente, según informaciones publicadas por la AGPD, la LOPD permanecerá vigente hasta la entrada en vigor del Reglamento en mayo de 2018, concretamente el 25. ¿Qué implica esto? Sencillamente que el pistoletazo de salida está dado, es decir, las organizaciones disponen de un plazo aproximado de dos años para poner en práctica las medidas indicadas en el Reglamento. Durante ese periodo convivirán las directrices actuales previstas en la legislación española, es decir, relativo a protección de datos, seguirán vigentes la Ley 15/1999 (LOPD) y el Real Decreto 1720/2007 (RLOPD) en cuanto a la legislación estatal, y en temas de transferencias, se complementará con la directiva europea 95/46. No obstante, siempre hasta mayo de 2018 deberá cumplirse lo indicado en la LOPD preferentemente respecto de lo indicado en el Reglamento.
Respecto a las organizaciones, ¿cómo afecta el Reglamento Europeo de Protección de Datos?
En primer lugar deberá tenerse en cuenta que el Reglamento aplica a las organizaciones establecidas en la Unión Europea o que se presten servicios a ciudadanos de la Unión. ¿Qué quiere decir esto? Que si ya me aplicaba la LOPD, obviamente también será de aplicación el Reglamento Europeo. Para otro tipo de empresas, estilos “Facebook” ahora el Reglamento sí será de aplicación, ya que se prestan servicios en la Unión, y es una de las mejoras que prevé el Reglamento para la protección del ciudadano. 
En referencia a los cambios establecidos, no son pocos, si bien como síntesis se puede indicar que aquellas organizaciones que ya tuvieran claros los principios de la LOPD y las medidas a aplicar, a priori no deberían tener excesivos problemas para su implementación. Como resumen de los aspectos más importantes, se pueden resumir en los siguientes: 

·         Importancia del consentimiento en el tratamiento de datos.


Si con anterioridad ya era un aspecto relevante, con el Reglamento se potencia todavía más, al establecer como no válidos algunos consentimientos que se pudieran clasificar como “tácitos”. Es decir, ya no valdrá con informar únicamente, sino que la recogida del consentimiento deberá ser clara, y además, “activada” por el usuario, bien marcando algún aspecto, firmando o haciendo “click” en un botón de un formulario. Si además, este tratamiento de datos refiere a datos sensibles (salud, creencias, etc.) deberá ser todavía más explícito si cabe y que de forma inequívoca, se tenga el “sí quiero” del afectado.

·         Delegado de protección de datos


El Reglamento establece la obligatoriedad del nombramiento de un delegado de protección de datos en los siguientes casos:
·         Organismo público
·         Tratamientos que requieran un seguimiento continuado de datos de interesados a gran escala
·         Tratamientos de datos especiales a gran escala o de infracciones penales.
Es decir, todas las administraciones públicas y las organizaciones que efectúen tratamientos de datos masivos (como “Facebook” o similares) o bien tratamientos con datos “especialmente protegidos” (hospitales, centros de salud, etc.) deberán nombrar esta figura, cuyas funciones serán las de supervisar que los preceptos del Reglamento se cumplen, así como dar respuesta a los derechos de los ciudadanos y ofrecer consejo a la organización acerca de protección de datos, así como efectuar evaluaciones de impacto y colaborar con la autoridad de control.

·         Autoridad de control y notificación de incidentes


Como método de supervisión, los estados podrán designar autoridades de control (en nuestro caso será la Agencia de Protección de Datos) que se encargarán de velar por el correcto cumplimiento del Reglamento. Esta figura es similar a la que ya ejercía la Agencia, pero con un número mayor de líneas de actuación, como puede ser la gestión de incidentes.
Como novedad, los Responsables del Tratamiento, en caso de sufrir una vulneración de datos personales – indicado en el Reglamento como “violación de seguridad de los datos personales” – tendrá la obligatoriedad de informar de este hecho a la autoridad de control como máximo en un periodo de 72 horas, con el fin de controlar y asesorar a las organizaciones en dichas fugas y poder poner límites a la propagación de dichas violaciones de datos en otras empresas u organizaciones.

·         Derecho al olvido y a la portabilidad de los datos


Nuevos derechos introducidos por el Reglamento. El primero de ellos, protege a los ciudadanos para poder suprimir los datos cuando ya no fueren necesarios, se suprima ese consentimiento o se recaben de forma ilegal. El ejemplo más claro puede ser resumido con “Google” a través del cual se indexan datos que pueden no ser autorizados por el afectado o llevar a informaciones obsoletas y/o erróneas.
La portabilidad de los datos refiere a la posibilidad de trasladar los datos objeto de tratamiento de un responsable a otro (sobre todo orientado a las operadoras de telefonía u organismos similares)

·         Privacidad desde el diseño y calidad de los datos.


La información a recoger debe ser analizada antes de comenzar su recogida, y comprobar que es la información imprescindible para prestar un servicio. Las organizaciones deberían revisar cuando se recopilan datos por ejemplo para suministrar una información, el recoger nombre, apellidos, DNI, dirección, teléfono, etc. siendo que con un correo electrónico para su respuesta, a día de hoy parece suficiente para dicha finalidad.

·         Menores y consentimiento


El Reglamento establece los 16 años como edad en la cual los menores pueden por sí mismos prestar el consentimiento. En España este aspecto se reduce hasta los 14 años.
Es importante recalcar que si los tratamientos están orientados específicamente a menores, el lenguaje deberá ser perfectamente entendible para ellos, además de contar con su consentimiento expreso.

·         Análisis de riesgos de los tratamientos.


Las organizaciones, con la finalidad de conocer cuáles son sus tratamientos más “problemáticos” deberán efectuar análisis de riesgos de sus tratamientos, para poder aplicar medidas de seguridad y garantizar la seguridad de dichos datos. El tipo de medidas y el número dependerá obviamente de la criticidad de la información tratada por la organización (no será lo mismo un pequeño negocio como una papelería y las medidas asociadas a dichos tratamientos que un centro de acogida a menores).

·         Actitud proactiva de las organizaciones conforme a la seguridad de la información


El objetivo del Reglamento es concienciar a las organizaciones en efectuar una protección de la información de forma preventiva y proactiva, actuando antes de que se produzcan los incidentes gracias a herramientas como las evaluaciones de impacto, delegados de protección de datos y la implementación de medidas de seguridad.

·         Trabajo para la adaptación


¿¿Todo lo hecho anteriormente implantado con la LOPD es inútil y debo empezar de cero?? No, lo único que habrá que efectuar es una modificación o una gestión diferente de la seguridad, variando algunos de los parámetros o formas de trabajar de las actuales, pero continuando la línea y visión existente en la organización complementándose con los aspectos establecidos en el Reglamento y que se han desarrollado en este artículo.
Espero les haya servido.

Saludos.
 
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)