PROTECCIÓN DE DATOS,

¿CÓMO CUMPLIR CON LA NORMATIVA?

Se define como dato personal cualquier información relativa a una persona física identificada o identificable, eso incluye imagen, voz, información biométrica, una dirección IP, es decir, cualquier dato que nos permita identificar a alguien (DNI, Nombre, Apellidos, email, etc..).

La Agencia Española de Protección de Datos (AEPD) fue fundada en 1994 y es el organismo público encargado de velar por el cumplimiento de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los Derechos Digitales (LOPDGDD o nueva LOPD). Esta ley viene a derogar la anterior LOPD que fue promulgada en 1999 y posteriormente modificada en algunos aspectos por la Ley 2/2011, de 4 de marzo de Economía Sostenible. La Ley Orgánica de Protección de Datos Personales y garantía de los Derechos Digitales supone una adaptación al ámbito nacional del Reglamento General de Protección de Datos (RGPD) publicado en 2016, que introdujo adaptaciones, ampliaciones y modificaciones al anterior pretendiendo mejorar el proceso, incrementar los derechos de los ciudadanos y reducir trámites burocráticos. Dicho reglamento europeo impuso una serie de cambios en el tratamiento de los datos a los que todas las empresas debían de adaptarse en mayo de 2018. Ha supuesto una nueva conciencia colectiva en materia de protección de datos en la era digital, de manera que cada uno podamos tomar decisiones informadas sobre el tratamiento o almacenamiento de nuestros datos personales. Pretende que internet sea segura e inclusiva, con garantía de acceso universal.

¿Por qué existe esta Ley?

La Ley de protección de datos y el reglamento, existen por una razón: marcar unas normas concretas para que gestionemos los datos de forma segura, respetuosa con los derechos y que garantice la seguridad de los mismos. El derecho fundamental que la protección de datos persigue garantizar y proteger es el tratamiento de los datos personales y los derechos fundamentales de las personas físicas; especialmente, el derecho al honor e intimidad personal y familiar.

Los derechos que describe la nueva norma son: acceso, rectificación, cancelación, oposición, limitación del tratamiento, portabilidad y olvido. Como empresa o profesional, debes permitir ejercer estos derechos de forma gratuita y pondrás a disposición de los usuarios los canales adecuados para que puedan ejercerlos fácilmente.

¿A quién se aplica?

La nueva LOPD aplica a todos, es decir a todas las entidades públicas o privadas, incluyendo pymes, quedando únicamente excluidas las actividades exclusivamente personales o domésticas, como puede ser la agenda del móvil, y no sin embargo un blog público en el que figure nombre o email del autor del texto. En este sentido la ley nos recuerda que las medidas de seguridad adoptadas dependerán esencialmente del nivel de riesgo que entrañan los tratamientos. Por ejemplo, no es lo mismo tratar datos de salud o penales que datos de contacto básicos de un cliente en una empresa. Es por ello que uno de los principios básicos, el de “responsabilidad activa” busca una actitud proactiva a la hora de tratar los datos personales, analizando concienzudamente el riesgo implícito del tratamiento, y como consecuencia seas capaz de imponer las medidas necesarias para mitigar ese riesgo.

Si pensamos que la información es el activo más valioso de nuestro negocio, hemos de generar un entorno para nuestros clientes, alumnos, suscriptores, afiliados, etc en el que sus datos personales de sean tratados lícitamente y en el que cada uno de ellos sea consciente de quién trata sus datos, con quién los comparte, con qué fin y hasta cuando son almacenados o tratados.

Principios básicos

Algunos de los principios básicos que todos debemos conocer serían:

  • Toda persona tiene derecho a protección de los datos personales que le conciernen
  • Los datos personales deben ser tratados de forma lícita, leal y transparente
  • Los datos personales deben ser recogidos con fines determinados explícitos y legítimos
  • Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento
  • Los datos personales deben ser exactos y estar siempre actualizados
  • Los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
  • Los datos personales deben ser tratados de tal manera que se garantice su seguridad

La nueva LOPD ha introducido muchos cambios. Por ejemplo, recordemos que antes era necesario registrar nuestros ficheros en la AEPD, algo que era una mera formalidad pero que daba imagen de cumplimiento. Ahora la palabra ficheros desaparece, así como el Documento de Seguridad y las medidas de seguridad de tipo alto, medio o bajo; y en su lugar hablamos de tratamientos y ahora es el Responsable de Tratamiento y en su caso el Encargado (personas físicas o jurídicas que deciden sobre el tratamiento de los datos), los que elaborarán un registro de actividades de tratamientos (RAT), en donde se describan los tratamientos que realizas y las medidas de seguridad que aplicas en cada caso, siendo muy importante un análisis de riesgo previo que definirá las medidas a adoptar.

Se mencionan también los datos especialmente protegidos (sensibles) y son aquellos que tienen una especial incidencia en la intimidad, las libertades públicas y los derechos fundamentales de la persona. Para ellos se requiere un mayor nivel de protección. Son, por ejemplo: datos de ideología, religión, creencias, origen racial, salud, comisión o infracciones penales o administrativas, datos genéticos, biométricos o de orientación sexual.

Otro aspecto muy importante son las “brechas de seguridad”: en este sentido la norma también es muy clara indicando que se ha de actuar rápidamente poniendo en conocimiento a la AEPD y al interesado sobre el ataque de los datos en un plazo no superior a 72 horas.

También si se dispone de una página web, es necesario adaptar la política de privacidad, los avisos legales, la política de cookies o las primeras capas informativas, informando al lector sobre el tratamiento de los datos.

En una sociedad digital globalizada como la nuestra, son muy relevantes también las transferencias internacionales a países de fuera de la Unión Europea. Solo se podrán llevar a cabo si existen las medidas de seguridad y garantías suficientes (códigos de conducta, certificaciones, normas, etc), de tal forma que el nivel de protección de los derechos y libertades de las personas no se vea vulnerado.

Derechos digitales

En relación con los derechos digitales la ley amplia a internet la exigencia y aplicación de los derechos y libertades reconocidos en la constitución y los tratados internacionales garantizando la protección a la intimidad de los ciudadanos de manera que su privacidad en una sociedad digital como la nuestra no quede expuesta. Podríamos resumir la garantía de los derechos digitales en los siguientes puntos:

  • Derecho a la desconexión digital en el ámbito laboral:
  • Derecho a la intimidad en el ámbito laboral
  • Derecho al olvido en internet y redes sociales
  • Protección de los menores en internet
  • Derecho a la educación digital
  • Derecho al testamento digital
  • Derecho de rectificación en internet y a la actualización de informaciones
  • Derecho de acceso universal a internet
Sanciones

En cuanto a las sanciones se mantienen las categorías (leves, graves y muy graves), pero se incrementan las cuantías, pudiendo las muy graves alcanzar los 20 millones de euros o 4% de la facturación bruta anual, lo que sea mayor. Además, se establece un nuevo sistema de indemnizaciones, pudiendo el afectado requerir además de la sanción, una indemnización si demuestra que sus derechos se han visto vulnerados.