El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. Las empresas deben ir implementando las medidas necesarias para cumplir con la norma de referencia que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD).
La nueva normativa afecta fundamentalmente a dos figuras: organizaciones con actividad en la Unión Europea y usuarios. Mientras que las empresas están obligadas a analizar qué datos gestionan, cómo los almacenan y procesan, y a desarrollar una nueva política de gestión de datos que afecta a toda la organización; por su parte, los usuarios – denominados por la ley como “interesados” – gozan de un mayor control sobre su información privada al eliminar el consentimiento tácito, garantizar el fácil acceso a sus datos personales, regular el derecho al olvido y permitir la posibilidad de oponerse al uso de datos personales. En definitiva, el RGPD modifica algunos aspectos de la actual legislación y contiene nuevas obligaciones:
Responsabilidad proactiva y dato personal
Una de los aspectos más innovadoras de la normativa europea es el principio de responsabilidad proactiva que exige “una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo”[i].
El concepto dato personal se amplía prácticamente a todo tipo de información, incluyendo las direcciones IP y los identificadores únicos (cookies), al tiempo que regula el tratamiento de la información personal en soportes y herramientas digitales como teléfonos inteligentes, redes sociales e información almacenada en la nube.
Consentimiento expreso
Además de adelantar la edad del consentimiento para el tratamiento de datos a los 13 años, la normativa europea prohíbe el consentimiento tácito, que ha prevalecido hasta la fecha, para dar paso al consentimiento expreso que puede ser revocado en cualquier momento por parte del interesado.
Las organizaciones deberán informar de forma clara de las condiciones y los términos en los que se hará uso de la información personal, garantizando en todo momento que los datos sólo han sido utilizados para los fines que fueron recabados.
No obstante, el consentimiento del interesado no es suficiente para almacenar datos de especial protección como los relacionados con la ideología, religión, orientación sexual o creencias del usuario.
Derecho al olvido y derecho a la portabilidad
Los usuarios pueden solicitar que sus datos personales sean retirados de internet, por ejemplo, de buscadores web cuando la información ha dejado de ser útil o necesaria para la finalidad para la cual fue obtenida, retiren su consentimiento o si el tratamiento de los datos incumple el Reglamento.
Del mismo modo, el RGPD concede a los usuarios la posibilidad de solicitar a las organizaciones una copia de sus datos personales en un formato estructurado, de uso común y lectura mecánica.
Delegado de protección de datos
Con el RGPD nace la figura del delegado de protección de datos (DPO), una persona física o jurídica que actúa como responsable de velar por el cumplimiento de la RGDP, diseña la adaptación a la ley, informa de las obligaciones de la empresa y establece los procedimientos necesarios para el cumplimiento de la misma. Dicha designación debe ser notificada a las autoridades nacionales de protección de datos y es el encargado de comunicarse con la Agencia Española de Protección de Datos (AEPD).
Este nuevo perfil supone un reto más en el cumplimiento del RGPD. No obstante, la normativa contempla la figura del DPO interno y el DPO externo. Este último permitirá a las organizaciones subcontratar un departamento de protección de datos que implementará la normativa europea y se responsabilizará del cumplimiento de la misma.
