Se empezarán a aplicar el 25 de mayo

Principales cambios que traerá la nueva normativa de protección de datos en 2018

Las entidades tanto públicas como privadas han tenido dos años para adaptarse a la nueva legislación de protección de datos.

ordenador-lopd-datos-negocios
Principales cambios que traerá la nueva normativa de protección de datos en 2018

Los datos se han convertido en los últimos años como un gran activo para los negocios. Tanto es así que se han generado empresas con modelos de negocio -economía digital-  basados en la venta y utilización de esa información. Por ello, y con el objetivo de proteger a las personas con respecto al tratamiento de sus datos, el Parlamento Europeo aprobó el Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo de 2016.

Esta normativa no comenzará a aplicarse en España hasta el 25 de mayo de este año, lo que significa que las entidades públicas, las organizaciones y las empresas tienen hasta ese día para organizar su modus operandi y adaptarlo al nuevo reglamento, ya que introduce una gestión distinta a la que se está utilizando actualmente.

El proceso de adaptación al nuevo tratamiento de la información variará dependiendo del tipo de empresa (entidad pública, multinacional, pyme, autónomos…) y, sobre todo, de los tipos de datos con los que trabajen (datos de riesgo, sensibles, financieros…). Pero en todos los casos se verán afectados, en mayor o menor medida, por los siguientes siente cambios de la normativa, que destaca la Agencia Española de Protección de Datos (AGPD):

1.- Consentimiento

El nuevo Reglamento exige que el consentimiento debe dejar de ser tácito, para ser “una manifestación inequívoca o una clara acción afirmativa”. Esto quiere decir que el responsable de los datos debe poder probar que tuvo el consentimiento.

Asimismo, los consentimientos obtenidos anteriormente a la puesta en marcha del Reglamento solo serán válidos si se consiguieron respetando los criterios específicos de la norma. La AGPD recomienda a todas las empresas revisar los acuerdos y ver si concuerdan la normativa, pues a partir del 25 de mayo solo serán legitimados los que tengan un consentimiento inequívoco, independientemente de la fecha en la que se obtuvo.

2.- Información

El Reglamento General de Protección de Datos (RGPD) incluye una serie de cuestiones que amplían las cláusulas informativas y que no estaban recogidas en la antigua Ley de Protección de Datos. En este periodo de adaptación, las entidades pueden ofrecer dicha información adicional sin costes mediante su propia web o con los canales de los que dispongan para comunicarse con sus clientes, lo que ayudaría según la Agencia a disminuir el número de casos en los que las cláusulas informativas presenten carencias, a la vez que reescriben sus políticas informativas recogiendo los criterios del Reglamento.

3.- Evaluaciones de impacto sobre la protección de datos

Las entidades deberán realizar evaluaciones de impacto sobre la protección de datos, antes de poner en marcha el uso de los mismos, para minimizar el impacto que su uso pueda acarrear a los clientes. Este sistema será obligatorio solo para cierto tipo de información y para un tipo específico de empresas que manejan información sensible.

La AGPD recomienda que las empresas que deban obligatoriamente realizar estas evaluaciones, que comiencen cuanto antes pues se necesita una preparación previa para escoger la metodología adecuada. Además, ello les facilitará la tarea cuando resulte obligatoria.

4.- Certificación

El Reglamento abre las posibilidades para que las entidades puedan obtener la Certificación. De esta forma, las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas pueden emitir las certificaciones.

5.- Delegados de protección de datos. Certificación

Se trata de una nueva figura que se encargará de que las distintas organizaciones cumplan con el Reglamento. La Agencia Española de Protección de Datos valora a este respecto la posibilidad de que sea la Entidad Nacional de Acreditación (ENAC) la encargada de emitir las credenciales de estos Delegados de protección de datos, aunque asegura que ello tendría “un carácter instrumental” y que no impediría a alguien “desempeñar las funciones de Delegado si su currículo muestra que reúnen los requisitos de conocimiento”.

6.- Relación entre responsables y encargados

El RGPD describe el tipo de contrato al que deben llegar el responsable de los datos con el encargado de los datos. En él se especifican las obligaciones de ambas partes ante la prestación del servicio acordado. Antes de la puesta en marcha del Reglamento, la Agencia recomienda dos cosas: revisar los antiguos contratos que seguirán vigentes a partir de mayo e incluir este tipo de cláusula en los nuevos contratos.

7.- Herramientas para pymes y herramientas sectoriales

Para ayudar a la implementación de este nuevo Reglamento en pequeñas empresas, la Agencia Española de Protección de Datos ha puesto en marcha Facilita. Una herramienta que ya está accesible online y que permitirá a las entidades que operen con datos de bajo o muy bajo riesgo conocer si están cumpliendo con la normativa.

Asimismo, la Agencia también está trabajando en la elaboración de una guía de análisis -que presentará en breve- para aquellas entidades que trabajan con datos de un nivel de riesgo mayor (como el manejo de datos sensibles).