Si en la gestión de tu actividad manejas nombres, direcciones, números de teléfono o cualquier otra clase de datos personales, debes adaptarte a la normativa sobre Protección de Datos. A continuación, resumimos las novedades que se aplicarán a partir del 25 de mayo.

La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) es la legislación de obligado cumplimiento para quienes gestionan datos de carácter personal hasta el 25 de mayo de 2018, cuando el Reglamento General de Protección de Datos (RGPD) se impondrá a escala europea.

En este sentido, como ya os habíamos adelantado hace un tiempo, todos los negocios, asociaciones o particulares que manejan datos de carácter personal (entendidos como toda información numérica, alfabética, fotográfica o de cualquier otro formato relativa a personas físicas identificadas o identificables, como la relativa a su existencia y ocupaciones; por ejemplo, el DNI, una matrícula o las altas y bajas médicas), deberán adaptar sus procedimientos antes del 25 de mayo de 2018 para garantizar su correcto tratamiento.

Esa es la fecha límite estipulada en el RGPD, uno de los cambios normativos más importantes llevados a cabo por la Unión Europea a objeto de aportar un marco comunitario para la protección de datos confidenciales. Entre otros, los objetivos de la legislación son dar mayor control al ciudadano y simplificar la burocracia.

Principales diferencias entre la LOPD y el RGPD

Clasificación de los datos por niveles

Mientras que la LOPD clasificaba los datos tratados en tres categorías —a saber, de nivel básico, medio o alto—, y planteaba las medidas técnicas que se debían aplicar en función del grado, el RGPD no establece niveles ni especifica medidas particulares en el plano técnico, si bien sí habla de datos «especialmente sensibles» y se consideran más tipos de datos, como los biométricos, genéticos, etc.

Notificación de ficheros

En virtud de la LOPD, todas las empresas y entidades que manejan datos deben notificar a la Agencia de Protección de Datos (AEPD) sobre los ficheros que gestionan (listas de clientes, proveedores, trabajadores, usuarios web, etc.). Esto se puede hacer mediante la página la AEPD y es obligado cumplimiento hasta el 25 de mayo de 2018.

Con el RGPD desaparece la obligación de presentar ficheros ante la autoridad, si bien se debe llevar un «registro de actividades de tratamiento», de carácter interno en lugar de público.

Documento de seguridad

La LOPD requiere que tengamos un documento de seguridad en el que consten la estructura de los ficheros, la infraestructura informática, los usuarios según zonas y accesos, los dispositivos asociados y los protocolos en vigor.

A partir de finales de mayo de 2018, no será necesario contar con un documento concreto sobre la seguridad de los datos, sino que esta información podrá englobarse en el registro de actividades.

Compromisos de seguridad

Actualmente, debemos firmar contratos tanto con los trabajadores (a quienes debemos informar previamente de las medidas que puedan afectar su privacidad, como posibles auditorías de su correo corporativo o instalación de GPS en dispositivos de la empresa) como con terceros que accedan a los datos (por ejemplo, gestores, informáticos, etc.).

El RGPD amplía el contenido de los contratos con terceros requiriendo descripción detallada de los servicios prestados, posibles transferencias internacionales, etc.

Cláusulas y avisos legales

La LOPD ya especificaba que se debía advertir al cliente o usuario de la recogida de datos y de los derechos ARCO (acceso, rectificación, cancelación y oposición) en las facturas, presupuestos, contratos, impresos, correos electrónicos, imágenes, cartel de videovigilancia y avisos legales en la página web.

Ahora el RGPD ampliará la información que se facilita al cliente o usuario (por ejemplo, la base jurídica para el tratamiento, quién es el destinatario de los datos, derechos de los afectados, etc.), si bien ofrece la posibilidad de proporcionarla «por capas», en función del nivel de recogida.

Medidas técnico-organizativas

En la actual LOPD se detallan medidas de seguridad como la necesidad de crear claves de acceso para cada usuario, copias de seguridad, control de acceso físico a los servidores, implementación de antivirus, cifrado de datos, etc. y, en el caso de los datos en papel, de los criterios de archivo y destrucción, entre otras.

Aunque la RGPD no especifica qué medidas de protección aplicar, se habla de «responsabilidad activa» o, lo que es lo mismo, de actuar con iniciativa en función de análisis de riesgos.

Otros aspectos relevantes del nuevo reglamento

Además de todo lo mencionado, cabe resaltar algunos puntos más de la nueva normativa.

• Consentimiento libre, informado, específico e inequívoco y para las diversas finalidades. Es decir, debemos informar claramente al cliente o usuario de qué datos recabamos y cómo vamos a usarlos y, para cada finalidad con la que vayamos a utilizarlos, deberemos facilitar la información correspondiente, para que pueda elegir si desea que sus datos se usen o no de esa manera. Además, quedan prohibidos el consentimiento tácito y las casillas premarcadas en páginas web. (Es decir, aunque un cliente nos haya dado su número de teléfono, no podremos mandarle SMS promocionales a menos que haya aceptado explícitamente mediante firma).
• Principio de transparencia en avisos legales. Todos los textos legales deben redactarse con un lenguaje comprensible.
• Se mantienen los derechos ARCO. Sin embargo, no hay plazo de respuesta.
• Notificación de fallos de seguridad a la AEPD y a los afectados.
• Delegado de protección de datos. En los casos en que se gestione datos a gran escala, se nombrará la figura del delegado.
• Regulación de las transferencias internacionales de datos. En caso de enviar o almacenar datos fuera del espacio de la UE, se deberá solicitar permiso específico.

Comunicaciones en formato electrónico

Por otro lado, en lo que se refiere a los datos de carácter personal por medios electrónicos, debemos recordar que las comunicaciones realizadas virtualmente se regulan por la LSSICE (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico), que estipula lo siguiente para las actividades que constituyan actividad económica o lucrativa para el prestador:

• Las páginas web deben contener la siguiente información:
  • Aviso legal. En el que conste la razón social, el CIF, datos de contacto, datos de inscripción de registro, profesión regular, códigos de conducta…
  • Política de privacidad (LOPD). Donde se informa del tratamiento que se hará de los datos recogidos.
  • Política de cookies. En caso de usarlas, se debe notificar clara y visiblemente de quién las instala, su uso, tipología, finalidad y mecanismo de desactivación.
  • Condiciones de contratación. Solo en el caso de las tiendas online.
  • Cláusula para comunicaciones comerciales. Debe incluir la posibilidad de darse de baja.
  • Otros avisos concretos. Se debe incluir el texto legal correspondiente en todos los formularios, las páginas de recogida de currículos y en cualquier aplicación que desarrollemos (términos y condiciones particulares a la app).
• Comunicaciones comerciales por correo electrónico. La LSSICE prohíbe los envíos comerciales sin el consentimiento previo y expreso del cliente o usuario (sin embargo, este no será necesario si ha existido una relación contractual previa y siempre que los datos se hayan obtenido lícitamente y se empleen para hacer publicidad de productos o servicios parecidos a los contratados anteriormente).
• Se deberá informar en las comunicaciones sobre la finalidad del tratamiento, así como proporcionar una dirección válida para ejercer el derecho a modificar o retirar el consentimiento (ARCO).

Conclusiones

En la página web de la AEPD (Agencia Española de Protección de datos) encontrarás toda la información actualizada, guías y una serie de herramientas como Facilita para el cumplimiento de las obligaciones recogidas en la Ley.

Es posible ocuparse personalmente de todos los trámites en la AEPD tras realizar los pasos adecuados, pero si prefieres consultar con profesionales, en Nominalia ponemos a tu disposición dos packs económicos para adaptar tu página web a la normativa sobre protección de datos.