RGPD y LOPDGDD

Reglamento General de Protección de Datos (RGPD)

¿Qué es RGPD o GDPR?

El RGPD – Reglamento General de Protección de Datos o GDPR, en inglés (General Data Protection Regulation) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.

El reglamento entró en vigor el 24 de mayo de 2016 pero es de obligado cumplimiento a partir del 25 de mayo de 2018.

Desde el pasado 25 de mayo de 2018 todo ciudadano europeo tendrá que dar su consentimiento expreso para que las empresas puedan usar sus datos personales así como éstas tendrán que decir qué datos tratan, con qué fines y quién es el responsable de los mismos.

¿A quién afecta en el RGPD?

Esta normativa afecta a todos aquellos autónomos y empresas que recojan, guarden, traten, usen o gestionen algún dato de los ciudadanos europeos independientemente del país desde el que los traten y de la actividad.

Así mismo, afecta a todas las personas físicas que residen en la Unión Europea.

¿Cómo afecta a los autónomos y las PYMES?

Autónomos y PYMES deben adaptarse a esta nueva normativa cuyo incumplimiento acarreará sanciones que pueden llegar a multas administrativas de 20.000.000€ o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

La adaptación al reglamento pasa por:

1. Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD) si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, identificar a la/s persona/s responsables de COORDINAR LA ADAPTACIÓN.
2. Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO
3. Realizar un ANÁLISIS DE RIESGOS
4. Revisar MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos
5. Establecer mecanismos y procedimiento de NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD
6. A partir de los resultados del análisis de riesgos, realizar, en su caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS

Paralelamente, tendrán que:

• Adecuar los FORMULARIOS
• Adaptar los MECANISMOS Y PROCEDIMIENTOS
• Valorar si los ENCARGADOS ofrecen garantías y adaptación de contratos
• Elaborar / Adaptar POLÍTICA DE PRIVACIDAD

¿Qué entendemos por dato personal?

Dato personal es cualquier información relacionada con una persona física que se puede utilizar para identificarla directa o indirectamente tales como nombre, sexo, edad, número de teléfono, correo electrónico, fotos, datos bancarios, menciones en redes sociales, dirección desde la que se conecta un ordenador.

Derechos de los ciudadanos europeos

El RGPD desarrolla y ofrece a los residentes en la Unión Europea derecho de acceso, rectificación, oposición, al olvido, a la limitación del tratamiento, portabilidad, información y a no ser objeto de decisiones individualizadas.

Consentimiento expreso

Un importante cambio que aplica el RGPD es que todo ciudadano europeo deberá dar su consentimiento expreso para que una empresa pueda utilizar sus datos personales. Aclara que el consentimiento debe ser inteligible y de fácil acceso.

No da lugar a opciones premarcadas ni consentimientos tácitos para el uso de los datos. Las empresas deberán legitimar para la recogida, uso y obtención del consentimiento por separado para cada finalidad.

¿Es válida la aceptación de términos y condiciones que acepté cuando ofrecí mis datos?

Si la aceptación no se obtuvo según la normativa que marca el Reglamento, ese consentimiento ya no es válido y la empresa deberá obtener el consentimiento de los datos personales en base al RGPD.

Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD)

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) fue publicada en el BOE el pasado 6 de diciembre de 2018. La Ley Orgánica 3/2018, de 5 de diciembre entra en vigor al siguiente día de su publicación en el BOE adaptando el derecho español al modelo establecido por el Reglamento General de Protección de Datos (RGPD) introduciendo como principales novedades:

• Nuevas obligaciones digitales para empresas, con el deber de facilitar a los ciudadanos ejercitar sus derechos exigiendo medios de fácil acceso y gratuitos para hacerlo. Así mismo, regula como ha de informarse a los ciudadanos acerca del tratamiento de sus datos, haciendo hincapié en un sistema que permita conocer de forma clara y sencilla el tratamiento, accediendo a través de un enlace directo, se modula el derecho de rectificación, olvido y portabilidad.

• Ofrece derecho de acceso, entre otros, a familiares, parejas de hecho o a herederos de personas fallecidas siempre y cuando el fallecido no lo hubiera prohibido.

• Concede importancia a la protección de los menores, estableciendo en 14 años la edad para ofrecer consentimiento de manera autónoma. Recoge el derecho a la educación digital, lo que implica la incorporación en los planes de estudio y en la formación del profesorado. Así mismo, contempla la responsabilidad de padres, madres y centros escolares por el tratamiento de información de menores en internet, siendo obligación de la Administración diseñar políticas públicas de concienciación digital.

• Trata el derecho al olvido en redes sociales y servicios equivalentes exceptuando la supresión cuando los datos hayan sido aportados por terceros en el ejercicio de actividades personales o domésticas.

• Referente al ámbito laboral se garantiza el derecho a la intimidad con respecto al uso de dispositivos de videovigilancia y de grabación de sonidos en el puesto de trabajo. Por otro lado, regula las garantías del derecho a la intimidad en lo que a uso de dispositivos digitales puestos a disposición de los empleados se refiere, de igual manera, se deberá informar a los trabajadores de la utilización de sistemas de geolocalización tratando así el derecho a la intimidad, por último se considera el derecho a la desconexión de la vida laboral.

• Regula los sistemas de información crediticia (ficheros de morosos) reduciendo de 6 años a 5 el tiempo máximo de inclusión de las deudas, marcando el importe mínimo de 50€ para incluir la deuda a estos sistemas.

• Desarrolla ambiciosas novedades para la Administración entre las que cabe destacar la publicación información que garantice la protección de datos personales especialmente vulnerables. Por otro lado, ofrece un cambio radical a la autoridad de protección de datos y modifica la Ley de competencia desleal al regular las prácticas agresivas al suplantar la identidad de la Agencia Española de Protección de Datos, así como sus funciones, del mismo modo las relacionadas con el asesoramiento conocido como “adaptación a coste cero” con el fin de limitar el asesoramiento de pésima calidad a las empresas en lo que a protección de datos se refiere. Así mismo, se regula un mecanismo de denuncias internas anónimas.

Normativa aplicable

Normativa aplicable en materia de protección de datos de carácter personal tanto en la legislación específica como en la sectorial:

• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
• Corrección de errores del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos