Comienza a aplicarse el nuevo Reglamento de Protección de Datos en España

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), cuyo fin era sustituir a la antigua Ley de Protección de Datos. Las Instituciones, las empresas, las pymes y los autónomos que trabajen con datos han tenido dos años para adaptarse a este nuevo reglamento, pues este viernes 25 de mayo de 2018 empieza a ser efectivo. 

Seguramente, y a pesar de los dos años que dio la Unión Europa de margen para adaptar las distintas entidades a la normativa, todavía existirán negocios que no habrán incorporado los cambios que trae consigo el RGPD. Lo que supone arriesgarse a multas y sanciones que pueden alcanzar hasta los 10 y 20 millones de euros. Tanto si se ha incorporado la nueva legislación europea a tu negocio, como si no, aquí se recopilan las calves que todo autónomo debería conocer sobre esta normativa. 

Principales cambios

1.- Consentimiento

 El responsable de los datos debe poder probar que tuvo el consentimiento. Por ende, los consentimientos obtenidos antes de la puesta en marcha del Reglamento solo serán válidos si se consiguieron respetando los criterios específicos de la nueva legislación.

2.- Información

El nuevo Reglamento incluye una ampliación de las cláusulas informativas. De esta manera, todos los negocios se ven en la obligación de informar por cualquier canal a sus clientes de estos cambios.

3.- Evaluaciones de impacto sobre la protección de datos

En este caso, este cambio solo afecta a los autónomos o empresas que trabajen con datos sensibles. Estos negocios deberán realizar evaluaciones del impacto que acarrea el nuevo Reglamento para minimizar los problemas que puedan sufrir los clientes. 

4.- Certificación

Cualquier autónomo o pyme puede reclamar un certificado de que cumple con el RGPD, tan solo deberán dirigirse a las Autoridades de protección de datos para que éstas expidan una certificación.

5.- Delegados de protección de datos. Certificación

Se trata de una nueva figura cuyo fin es controlar que las distintas organizaciones cumplan con la nueva legislación. La Agencia Española de Protección de Datos valora la posibilidad de que sea la Entidad Nacional de Acreditación (ENAC) la encargada de emitir las credenciales de estos Delegados de protección de datos.

6.- Relación entre responsables y encargados

El nuevo Reglamento define el tipo de contrato que debe vincular al responsable de los datos con el encargado de los datos. En él se especifican las obligaciones de ambas partes ante la prestación del servicio acordado. En este caso, el autónomo debe revisar los antiguos contratos que permanecerán vigentes ahora que se empieza aplicar el RGPD e incluir este tipo de cláusula en los nuevos contratos.

¿Cómo cumplir con en el nuevo reglamento?

1.- Notificar los ficheros ante el Registro General de la Agencia Española de Protección Datos

Para ello, simplemente deberán detallarse los tratamientos de datos que realizamos, esto se cumplimentará mediante un formulario que el autónomo encontrará en la web oficial de la Agencia de Protección de Datos (AGPD).

2.- Cumplir con el deber de información y consentimiento

En este caso, debe informarse a los titulares de los datos personales de quién es el responsable del tratamiento (Datos del Autónomo), las finalidades del tratamiento, si existen cesiones a terceros y la dirección postal o electrónica donde el titular pueda solicitar sus derechos de acceso, rectificación cancelación y oposición. Además, es obligatorio obtener el consentimiento para el tratamiento de los datos personales.

3.- Regular la relación con los proveedores que puedan acceder a los datos que estén bajo la responsabilidad del autónomo

Para ello, deberá regularse por escrito a través de un contrato específico (Contrato de Encargado de Tratamiento), o, bien, incluyendo una cláusula en el contrato de prestación de servicios que quede firmada por ambas partes.

4.- Aplicación de las medidas de seguridad reglamentarias

El responsable debe empezar por utilizar contraseñas individuales para acceder a los ordenadores y cambiarlas como mínimo anualmente. A partir de ahí, realizar semanalmente copias de seguridad, disponer de un formulario de Registro de incidencias -por si sufre alguna que haya puesto en peligro los datos personales-, informar a los trabajadores de las medidas de seguridad que deben aplicar y disponer de un registro que indique a qué ficheros pueden acceder los distintos usuarios. Además, todas las medidas de seguridad que se apliquen deberán incluirse en un documento de seguridad.

5.- Atención de los derechos de los ciudadanos

Todo autónomo, de manera gratuita, deberá facilitar y garantizar el ejercicio de cuatro derechos legítimos a cualquier ciudadano que se los solicite. Estos son:

• Derecho de Acceso: Permite al ciudadano conocer y obtener información sobre sus datos de carácter personal sometidos a tratamiento.
• Derecho de rectificación: Permite al ciudadano solicitar la corrección de errores y la modificación de los datos que resulten ser inexactos o incompletos.
• Derecho de cancelación: Permite al ciudadano solicitar que se supriman sus datos.
• Derecho de oposición: Permite al ciudadano a solicitar que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo.

6.- Otros derechos y obligaciones de relevancia

• Calidad de los datos: Los datos personales que solicitemos deberán ser adecuados, veraces y no excesivos. Este principio implica básicamente no solicitar más datos de los necesarios, mantenerlos actualizados y eliminarlos cuando ya no sean necesarios.
• Deber de guardar secreto: El autónomo deberá garantizar el cumplimiento de los deberes de secreto y seguridad de los datos de sus clientes.

Hoja de ruta de la AGPD

La Agencia Española de Protección de Datos ofrece estos pequeños consejos para adaptarse al nuevo Reglamento:

1.- Designar un Delegado de Protección De Datos (DPD) si es obligatorio para el negocio o si lo asume voluntariamente. En caso de no ser necesario, identificar a la persona o las personas responsables de coordinar la adaptación.

2.- Elaborar el Registro de Actividades De Tratamiento teniendo en cuenta su finalidad y la base jurídica.

3.- Realizar un análisis de los riesgos.

4.- Revisar las medidas de seguridad a la luz de los resultados del análisis de riesgos.

5.- Establecer los mecanismos y el procedimiento de la notificación de quiebras de seguridad.

6.- A partir de los resultados del análisis de riesgos, realizar una evaluación del impacto en la protección de datos.

Los autónomos que usen WhatsApp con sus clientes podrán ser multados

La nueva normativa europea en materia de datos establece que la responsabilidad en la gestión de los datos de los clientes recae sobre el autónomo y éste será el último y máximo responsable. La Agencia Española de Protección de Datos ha determinado que WhatsApp no es una aplicación segura.

Dicho esto, los trabajadores por cuenta propia que se comuniquen con sus clientes a través de WhatsApp, manejando datos sensibles, podrán ser multados.

Facilita RGPD, la herramienta online para cumplir con el nuevo Reglamento

La Agencia Española de Protección de datos dispone en su página web de un rápido cuestionario para saber si el usuario cumple con el RGPD, el cual ha dividido en cuatro fases:

1.- El autónomo deberá escoger el sector en el que se encuadra y los datos que trata.

2.- Una vez que la herramienta confirma que los datos con los que trabaja el negocio carecen de un riesgo real, será el momento de cumplimentar ciertos datos sobre la información de la empresa como el nombre, la dirección, el CIF o el teléfono.

3.- Facilita RGPD recabará información sobre los tratamientos que realiza el usuario. Por ejemplo clientes, empleados o currículums de candidatos.

4.- Una vez aportada toda la información, esta herramienta de la AGPD ofrecerá los documentos para el cumplimiento mínimo de la RGPD.