Nuevo Reglamento Europeo de Protección de Datos. Aprobación, entrada en vigor y principales cambios.

REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

 

El pasado 1 de abril de 2016 se ha aprobado el nuevo Reglamento Europeo en materia de Protección de Datos Personales. Este Reglamento entrará en vigor definitivamente el próximo 25 de mayo de 2018, una vez finalice el periodo de adaptación que se ha otorgado.

Este nuevo y esperado reglamento, tiene tres objetivos muy claros:

  1. Unificar las normativas existentes en los países miembros de la Unión Europea, en la que conviven infinidad de normativas dispares.
  2. Que los países no miembros de la Unión Europea, pero que operen en la misma, cumplan con la normativa establecida para los países miembros de manera que no se vulneren los derechos de los ciudadanos europeos.
  3. El tercer objetivo que se trata de cubrir con el nuevo Reglamento, es la adaptación a los nuevos cambios que se están produciendo en nuestra sociedad y que tienen que ver, sobremanera, con la evolución de la tecnología y de los hábitos de comunicación de los usuarios, cada vez más expuestos por la introducción del Internet de las cosas.

En el caso de España, el nuevo Reglamento sustituirá a la actual LOPD, aprobada en el año 1999 y al Reglamento de desarrollo de la Ley Orgánica, normativas que, por el alto desarrollo de la tecnología, redes sociales y modo de compartir la información actualmente, han quedado totalmente obsoletas.

Actualmente existe un anteproyecto de ley que tratará de aterrizar este Reglamento, pero que básicamente es una extrapolación de la norma europea, dado que esta se implantará en todos los estado miembros, dando muy poco margen a los países para su adecuación.

Con todo esto, el nuevo Reglamento, basa su desarrollo en el concepto del tratamiento de datos, la anonimización de los datos personales y la ciberseguridad.

¿Qué entendemos por tratamiento de datos personales?.

Según el Reglamento cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de
datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión,limitación,supresión o destrucción.

En definitiva, se trata de definir que hacemos con los datos personales que manejamos en nuestro día a día. Esto viene a colación del desarrollo del Big Data, de la elaboración de perfiles de uso de los individuos, etc., que permiten a las empresas desarrollar estrategias comerciales y de producto que afecta a estos usuarios.

Con la introducción del nuevo Reglamento, cada uno de nosotros, tenemos que prestar consentimiento explícito para que un tercero pueda hacer un tratamiento de nuestros datos. Este consentimiento explícito, debe contener con exactitud que procesos se van a realizar con nuestros datos y cual es el fin ultimo de este proceso.

Anonimización.

En este Reglamento, se recoge la necesidad de la anonimización de los datos, de tal manera que los datos relativos a una persona, que van a ser tratados, se hayan disgregado y no sea posible identificar a la persona a través de esos datos.

Ciberseguridad.

Este es un apartado importante. El nuevo Reglamento establece que en la implementación de medidas, se deben tener en cuenta medidas de carácter tecnológico. Esto incluye procedimientos de seguridad, tanto lógica como física, encriptación de los datos para su cesión a terceros y la implantación de mantenimiento y control de los sistemas de información.

Cada vez son más frecuentes las noticias sobre ciber-ataques, en los que se pone en peligro la bases de datos personales con las que cuentan las empresas, así como la propiedad industrial e intelectual de las mismas.

¿Cómo debo adaptarme al nuevo Reglamento?.

A diferencia con la anterior normativa, deja de existir un modelo genérico, en el que se daban una serie de recomendaciones de seguridad y que iban detallados en base al nivel de los datos que se trataban. Estos en muchos de los casos, no tenían en cuenta la realidad de las empresas.

El nuevo Reglamento refuerza la proactividad de las empresas para que estas sean conscientes de la necesidad de la implantación de un nuevo modelo, en donde se refleje una realidad basada en el autoconocimiento de la empresas y sus diferentes departamentos, se evalúen los riesgos reales a los que se enfrenta la empresa con su tratamiento de datos actual y se elaboren una serie de medidas a implantar, de modo que se promueva un sistema de mejora continua que evite fallos del mismo.

La nueva Protección de Datos es un Compliance, en el que deben participar todos los departamentos de la empresa y en el que todos sus trabajadores deben estar formados para conocer los procedimientos internos y conocer que pueden y que no pueden hacer, con los datos personales que manejan.

El formato, se asienta sobre la ISO 19600 de gestión de riesgos, en el que se introducirán controles y registros, que verifiquen la adecuación al Reglamento.

En el nuevo Reglamento se establece una nueva figura, el DPO (Data protection officer / delegado de protección de datos), que se encargará de velar por el cumplimiento de los procesos internos. Esta figura, podrá ser personal propio de cada empresa, o se podrán subcontratar estos servicios a otra empresa / individuo que pueda acreditar un conocimiento de la normativa existente. Esta acreditación no es oficial, es más bien curricular en la cual el DPO acredite años de experiencia de implantación y auditoría de sistemas de protección de datos.

¿Es complicado adecuarme al nuevo Reglamento?.

Si bien es más laborioso, el nuevo Reglamento introduce dos variables, la de la proporcionalidad y la de coherencia con la realidad de las empresas.

Proporcionalidad en cuanto a que la implantación será más sencilla en aquellas empresas en las que, independientemente de su tamaño, se hagan tratamientos de datos más o menos complejos.

Coherencia, en cuanto a que los procedimientos internos se adecuarán a la realidad de la empresa y a las necesidades recogidas según el tratamiento de datos que se realice en las mismas.

Para ello, toda implantación debe comenzar con un análisis previo que determinará la necesidad, o no, de elaborar una evaluación de impacto. Sólo aquellas empresas con tratamientos de datos más complejos requerirán de evaluación de impacto y de un desarrollo mayor del sistema de gestión de datos personales. Para el resto de empresas, esta implantación es más sencilla.
En todas ellas, deberá elaborarse un mapa de actuaciones recomendadas que permitan atajar los problemas de seguridad que se puedan detectar durante la implantación.

Formación.

Aunque con la anterior normativa era recomendable, con el nuevo Reglamento se hace obligatoria la formación de los usuarios para conocer los procedimientos internos en materia de Protección de Datos, los Códigos de conducta que se establezcan y los protocolos telemáticos de las empresas.

Con esto se evitarían la mayoría de las denuncias que se emiten, provocadas en la mayoría de los casos por negligencias y desconocimiento de la normativa y de los procesos internos.

 

Valentín Canga
CEO Excell Developments / Excell Grupo

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *