En qué consiste la nueva Ley de Protección de Datos
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a “la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”, entrará en vigor el 25 de mayo del 2018.
El RGPD es aplicable directamente a todos los Estados miembros, si bien es necesario que todos ellos ofrezcan normas jurídicas siguiendo el propio mandato del RGPD.
Normativa española
Actualmente se encuentra vigente la Ley Orgánica de Protección de Datos 15/1999 del 13 de diciembre de carácter personal, y el Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el reglamento de desarrollo de la misma.
Siguiendo el mandato europeo, el pasado 10 de noviembre del 2017, el Gobierno de España ha aprobado el texto que se encuentra en trámite legislativo para su aprobación, estimando que estará aprobado y entrará en vigor a la vez que el RGPD (25-5-2018).
Principios inspiradores
Las nuevas tecnologías obligan a una normativa más actual y dinámica que sea capaz de proteger los datos de carácter personal, entendiendo por éstos, todas las informaciones referentes a personas físicas identificadas o identificables. En este sentido, se considera identificable toda persona, cuya identidad pueda ser determinada mediante, por ejemplo:
-
Un nombre, un número de identificación, datos de localización o un identificador en línea.
-
O mediante el uso de uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de las personas.
También existen los denominados datos especialmente protegidos, en los que además de los datos de salud, se encuentran los que hagan referencia a la ideología, religión, origen racial, vida sexual y comisión de infracciones penales o administrativas.
El Delegado de Protección de Datos
Una de las novedades del RGPD, es la obligación de cualquier empresa (independientemente de su tamaño) de velar por su correcto tratamiento y protección de los datos. Es decir, de contratar un Delegado de Protección de Datos, DPO por sus siglas en inglés (Data Protection Officer)
El DPO puede ser cualquier persona física o jurídica, con conocimientos especializados en Derecho y práctica en materia de protección de datos. No es necesaria una certificación pero sí que la persona esté cualificada, y que no necesariamente pertenezca a la empresa.
Funciones
-
Informar y asesorar al responsable, al encargado del tratamiento y a los empleados de las obligaciones en materia de protección de datos.
-
Supervisar el cumplimiento de la normativa en materia de protección de datos, así como las asignaciones de las responsabilidades, la concienciación y la formación del personal que participe en las operaciones.
-
Asesorar en la evaluación del impacto y supervisar la aplicación.
-
Cooperar con la Autoridad de Control.
-
Actuar como punto de contacto de la Autoridad de Control y la empresa.
-
Comunicar a la Agencia de Protección de Datos, en un plazo no superior a 72 horas, salvo que por circunstancias excepcionales se origine una mayor dilación, de la comisión de una brecha de seguridad, que se producirá cuando se ocasione la destrucción, pérdida, alteración accidental o ilícita de datos personales transmitidos, conservados, o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos, descifrado, pseudonimización a la inversa, o usurpación de identidad.
Principios a seguir en el tratamiento de la protección de datos
La empresa deberá ofrecer los siguientes principios en el tratamiento de los datos:
-
Transparencia lícita, leal.
-
Limitación de la finalidad.
-
Minimización de los datos.
-
Exactitud.
-
Limitación del plazo de conservación.
-
Integridad y confidencialidad.
-
Responsabilidad.
-
Obtención de consentimiento.
-
Inequívoco para cada fin
-
Expreso en el tratamiento de datos de categoría especial.
-
Todos estos principios exigen una serie de obligaciones a seguir en el tratamiento de los datos personales, que deben contener una primera información básica de primer nivel y una información adicional de segundo nivel, que pasamos a detallar.
Información básica
-
Identidad del responsable del tratamiento.
-
Descripción sencilla de los fines del tratamiento, elaborando perfiles.
-
Legitimación del tratamiento, conteniendo la base jurídica del mismo.
-
Destinatarios, con mención de previsión o no de cesiones, transferencias o no a terceros países.
-
Referencia al ejercicio de derechos.
-
Fuente de los datos cuando no procedan del interesado.
Información adicional
-
Datos de contacto del responsable, y datos de contacto del delegado de protección de datos.
-
Descripción ampliada de los fines del tratamiento, plazos o criterios de conservación de los datos, decisiones automatizadas, perfiles y lógica aplicada.
-
Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo.
-
Obligación o no de facilitar datos y consecuencias de no hacerlo.
-
Destinatarios o categorías de destinatarios.
-
Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
-
Cómo ejercer los Derechos de acceso, rectificación, supresión, y portabilidad de sus datos, y la limitación u oposición a su tratamiento.
-
Derecho a reiterar el consentimiento prestado.
-
Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público, y categorías de los datos que se traten.
La ciberseguridad frente al robo fraudulento de datos
Uno de los activos más valorados por las empresas en la actualidad es la información, en especial, la relativa a datos de clientes o futuros clientes.
Dicha información, es objeto de protección por la LOPD, RGPD, estableciendo principios a seguir, medidas de seguridad, mecanismos de protección, y sanciones cuantiosas para evitar la cesión, publicación o uso inapropiado de dicha información.
Sin embargo, es tremendamente difícil cumplir con la normativa de protección de datos en todos sus extremos, por lo que actualmente las empresas están expuestas al robo de información, bien por parte de sus trabajadores, o sus clientes, de forma consciente o bien inconscientemente al haber sufrido el ataque de algún virus.
Esto puede suponer enormes perjuicios para la empresa, ya que además de la sanción que puede ser equivalente a un 4% de la facturación, la legislación obliga, como ya hemos apuntado anteriormente, a informar a la Autoridad de Control y a los clientes, que sus datos han podido ser comprometidos. Algo que irremediablemente supondrá una pérdida de confianza en la marca por la insuficiencia en los métodos y la falta de responsabilidad en el tratamiento de los datos.
A ello hay que añadir que existe todo un mercado ilegal en internet de compraventa de datos personales que fomenta el robo de los mismos.
Por tanto, conscientes del daño que puede producir a una empresa la incoación de un expediente administrativo por la Agencia Española de Protección de Datos, cuya denuncia se fomenta con la previsión en la ley de un incentivo económico para el denunciante, creemos imprescindible advertir de determinadas precauciones a tomar:
-
Usar métodos de autenticación de doble factor: Lo que supone el uso de múltiples factores que confirmen la identidad de la persona que accede a un sistema o aplicación, como una pregunta secreta, un certificado digital, una huella dactilar…etc.
-
Usar contraseñas seguras y no reutilizarlas: También es recomendable el uso de algún tipo de herramienta de gestión de contraseñas.
-
Asegurarse de buscar la S del protocolo HTTPS al navegar por Internet: Y evitar así el llamado Phishing, introduciendo la contraseña en páginas aparentemente reales y confiables y que sin embargo son imitación de otras con la intención de obtener nuestras contraseñas.
María Oliva Gómez - Abogada de CEA
Etiquetas: proteccion de datos, agencia española de proteccion de datos, ley de proteccion de datos, ley organica proteccion datos, reglamento proteccion de datos, reglamento general de proteccion de datos, reglamento europeo de proteccion de datos, rgpd, reglamento lopd, nuevo reglamento europeo de proteccion de datos, nuevo reglamento de proteccion de datos, nueva ley de proteccion de datos, delegado de proteccion de datos, proteccion de datos empresas, data protection officer, delegado proteccion de datos, lpd