Saltar al contenido
nueva ley de protección de datos 2018 Alto Servicios. Diseño web y SEO

La nueva ley de protección de datos entrará en vigor el próximo día 25 de mayo de 2018. El cambio viene dado porque tenemos que adaptarnos al Reglamento europeo de protección de datos. Desde la unión europea se pretende homogeneizar la normativa con relación a la protección de datos. Es decir, evitar que una misma empresa que opera en diferentes países de la UE tenga que cumplir con diferentes normativas legales. Esta situación provocaba ciertas barreras de entrada en el mercado a algunas empresas, entre otras cosas.

En este artículo te vamos a dar respuesta a las preguntas habitaules con relación a la nueva ley de protección de datos.

1.- ¿Quién debe cumplir la nueva ley protección de datos?

Según la LOPD, están obligados a cumplir la normativa de protección de datos de carácter personal todas las personas, empresas y entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades.

Esto significa que tanto profesionales autónomos como empresas del sector público y del sector privado y entidades sin ánimo de lucro deben cumplir las garantías establecidas para la protección del derecho fundamental a la intimidad y a la privacidad de datos personales en la creación, tratamiento y modificación de ficheros que contengan información personal de clientes, pacientes, empleados, proveedores, alumnos, etc.

2.- ¿Qué son datos personales?

Los datos personales son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que sean recopiladas y pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal. Y  se
considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El RGPD protege los datos personales independientemente de la tecnología utilizada para su tratamiento. Es «tecnológicamente neutro» y se aplica tanto al tratamiento automatizado como manual, siempre que los datos se organicen con arreglo a criterios predeterminados (como el orden alfabético). Asimismo, no importa cómo se conservan los datos. Ya sea en un sistema informático, a través de videovigilancia o sobre papel; en todos estos casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.

Ejemplos de datos personales según la Nueva ley de protección de datos:

nombre y apellidos, domicilio, edad, sexo, dirección de correo electrónico, del tipo nombre.apellido@empresa.com,
número de documento nacional de identidad, datos de localización (como la función de los datos de localización de un teléfono móvil), dirección de protocolo de internet (IP), el identificador de una cookie, el identificador de la publicidad del teléfono, los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona.

Ejemplos de datos no considerados personales por la Nueva ley de protección de datos:

número de registro mercantil, dirección de correo electrónico, del tipo info@empresa.com, datos anonimizados.

Con relación a los datos personales, algunos datos personales son más sensibles que otros, por ejemplo la edad, sexo o religión. Si recopilamos estos datos el nivel de riesgo es mayor, asi como las obligaciones y posibles sanciones implícitas también.

3.- Cuales son las nuevas obligaciones con relación a los usuarios

  • Obtención del consentimiento para el tratamiento de datos. Con la nueva ley el consentimiento debe ser activo y expreso. Es decir, debemos acreditar que el usuario ha sido correctamente informado (con una serie de requisitos) y que ha dado su consentimiento mediante una acción más positiva y expresa.. Asi pues, en una web ya no vale que un formulario muestre un enlace a la ley de protección de datos con el check de acepto previamente marcado. Tiene que ser el usuario quien lo haga manualmente antes de poder enviar sus datos. Ya no será válido el consentimiento tácito por ningún medio
  • Deber de información. El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos. En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses indicados en la LOPD).
  • Cambios con relación a los derechos de los usuarios. Antes los usuarios tenían derecho de acceso, rectificación, oposición y cancelación. Con el nuevo reglamento tendrán además derecho a la transparencia de la información, supresión (derecho al olvido), limitación y portabilidad.
  • Mayor nivel de información. Esto afecta especialmente a las páginas web ya que son una de las vias más habituales para recabar datos personales.
    Se amplia la información que se les debe dar a los interesados en relación con el tratamiento de sus datos así como a sus derechos en esta materia.

4.- Obligaciones con relación a la Agencia de Protección de datos

  • Nueva obligación sobre el registro de los datos. La nueva normativa, elimina la obligación de registrar los ficheros ante la Autoridad de Control correspondiente. No obstante obliga a llevar un registro interno de todos los tratamientos de datos personales que lleva a cabo la entidad, siempre que esta tenga más de 250 empleados o cuando se traten, no de forma ocasional, datos sensibles.
  • Notificación de violaciones de seguridad. La nueva normativa exige que las violaciones en la seguridad que puedan afectar a los datos personales sean notificadas en un plazo máximo de 72 horas a la Autoridad de Control correspondiente (Agencia Española de Protección de Datos). Si además si en esa violación se pueden ver afectado datos de carácter sensible y con gran repercusión a los afectados, también se lo deberá notificar a estos mismos.

5.- Nuevas obligaciones en el seno de la empresa

  • Nace la figura del Delegado de Protección de datos. Es lo que se conoce como el Data Protector Officer (DPO). Se trata de una persona física o jurídica cuya asignación debe ser comunicada a la Agencia Española de Protección de datos (AEPD). Puede ser interna o externa a la organización o empresa. Es obligatorio para las empresas contar con su figura o con la formación necesaria. En caso contrario, la norma menciona varias infracciones graves.Alta en la agencia de protección de datos.
  • Registro interno de los datos. Los datos personales deben estar registrados en un fichero dentro de la empresa en un formato exportable, por ej. excel, csv o similar. Debe existir un sistema de cifrado de datos que garantice y evite fugas de esos datos a terceros.
  • Análisis de riesgo y evaluaciones de Impacto.  Son la principal medida de responsabilidad proactiva. Todos los obligados a cumplir la ley deben realizar una análisis de los riesgos previos que puede acarrear un determinado sistema de información, producto o servicio al derecho a la protección de datos.

6.- Nuevas obligaciones con relación a las páginas web, redes sociales, etc.

En parte ya se han comentado la mayoría de cambios que afectan a raiz de la nueva ley de protección de datos. Basicamente son:

  • Cambios en los textos legales. Los típicos textos legales de aviso legal, protección de datos y ley de cookies deben cambiar para adaptarse a la nueva ley. Estos dependerán de las actividades que realice la empresa y del nivel de riesgo de los datos personales tratados.
  • Los sistemas de recogida de datos personales como formularios deben acreditar la obligatoriedad del consentimiento activo del usuario
  • Registro de datos en sistemas que permitan su portabilidad (esto un nuevo derecho del usuario)

7.- Sanciones de la nueva ley de protección de datos

La nueva ley de protección de datos estipula unas sanciones muy altas. Aunque se modulan en función de proporcionalidad, efectividad y efecto disuasorio pueden alcanzar entre los 10 y 20 millones de euros o entre el 2% y el 4% del volumen de negocio en función de su gravedad.