Ante la inminente aprobación en España de la nueva ley de Protección de Datos, te dejo una sencilla guía sobre el cumplimiento de esta normativa.

Guía para cumplir la LOPD-GDD (nueva LOPD)

Aunque ya debemos cumplir con el Reglamento europeo de Protección de Datos (RGPD) desde el 25 de mayo, en España se va a aprobar la ley que lo desarrolla.

Y debemos conocer las novedades y pasos para adaptarnos correctamente.

como cumplir la lopd-gdd ley de proteccion de datos y garantia de derechos digitales

Registrar los tratamientos realizados en la empresa

Es importante comprender:

Puede ser cualquier cosa, desde:

  • un nombre,
  • una foto,
  • una dirección de correo electrónico,
  • datos bancarios,
  • sus publicaciones en redes sociales,
  • su información médica o
  • dirección IP de su ordenador.

Consentimiento inequívoco y explícito

Se requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa.

De esta forma se excluye el uso del llamado consentimiento tácito que permitía la normativa española.

Según esto, si los consentimientos se obtuvieron con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos si fueron otorgados respetando los criterios de este nuevo Reglamento. Es decir, el usuario de una web, por ejemplo, deberá marcar la casilla en la que consiente expresamente que la información facilitada sea utilizada con fines comerciales y/o cedida a terceros.

Así mismo, se establece que:

  • el consentimiento no puede ser genérico,
  • los datos sólo serán usados para la finalidad sobre el que se ha informado al usuario y
  • serán necesarios consentimientos independientes si esos datos se van a usar para otras finalidades.

En caso de menores de 14 años en relación de la oferta de servicios de la sociedad de la información, como por ejemplo redes sociales o tiendas online, se requerirá el consentimiento de los padres o tutores.

Obligación de dar más información

Además de los datos requeridos por la antigua LOPD que incluyen:

  • finalidad del uso de los datos,
  • destinatarios de esos datos,
  • obligación o no de facilitar los datos y sus consecuencias,
  • derechos del interesado e
  • identidad del responsable.

Ahora se exige la inclusión de:

  • base jurídica del tratamiento;
  • tiempo máximo que se mantendrán los datos;
  • identidad, si procede, del Delegado de Protección de datos;
  • si habrá o no trasferencia internacional de datos;
  • el derecho a presentar una reclamación;
  • la existencia o no de decisiones automatizadas.

En relación a los derechos ARCO es necesario informar sobre los derechos de:

  • acceso,
  • rectificación,
  • supresión (derecho al olvido),
  • limitación,
  • portabilidad, y
  • oposición.

Las entidades deberán actualizar los avisos de privacidad de la web para adaptarlos al RGPD y estar preparados para incluirlos en contratos y formularios.

Análisis del riesgo

Todas las empresas sin excepción y los proyectos, ya sean comerciales, de creación de una página web, de desarrollo de entorno tecnológico, etc., deben:

  • examinar las vulnerabilidades informáticas y potenciales brechas de seguridad, garantizando que se utilizan las técnicas más avanzadas para impedir, bloquear o neutralizar potenciales ataques;
  • implantar un sistema de vigilancia con revisiones periódicas y actualizando los sistemas de análisis para evitar la obsolescencia y,
  • asegurar que en todo momento los tratamientos de datos se ajustan a la normativa de protección de datos en vigor.

Comunicar los incidentes de seguridad

Es obligatorio notificar a la AEPD y a los afectados, en el plazo de 72 horas desde su conocimiento, las violaciones de seguridad producidas. Si esa brecha de seguridad se considera de alto riesgo para el interesado, la empresa tiene la obligación de comunicarlo directamente.

La notificación a la autoridad debe incluir como mínimo:

  • naturaleza de la violación, y cuando sea posible las categorías y número de afectados aproximados;
  • nombre y los datos de contacto del DPD o de otro punto dónde obtener más información;
  • consecuencias posibles de la violación;
  • medidas adoptadas o propuestas para remediar los efectos negativos.

Evaluaciones de impacto sobre la protección de datos

Existen empresas que, por la naturaleza de los datos que manejan, estarán obligadas a realizar una evaluación del impacto.

Estas son:

  • empresas que efectúen una evaluación sistemática de aspectos personales basadas en un tratamiento automatizado, como la elaboración de perfiles, en base a los que se tomen decisiones con efectos jurídicos o que les afecten significativamente;
  • las que realicen tratamiento a gran escala de las categorías especiales de datos o datos relativos a condenas e infracciones penales;
  • aquellas que realicen una observación sistemática a gran escala de una zona de acceso público.

La diferencia entre la evaluación de impacto y el análisis de riesgo es que la primera se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos. Y la segunda analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

Contratos de Encargado del Tratamiento

Los Contratos de Encargados del Tratamiento, que las empresas suscriben con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con la nueva normativa.

El contrato tiene que constar por escrito. Y se incluirán las instrucciones del responsable al encargado en relación con:

  • medidas de seguridad,
  • régimen de subcontratación,
  • confidencialidad y
  • destino de los datos una vez finalizada la prestación del servicio.

La AEPD ha redactado las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento, donde incluye un modelo de contrato que debe personalizarse para adaptarlo al caso concreto.

Garantizar los derechos digitales

La nueva LOPD dedica una sección a los derechos digitales.

Con ello se pretende ampliar a Internet la exigencia y aplicación de los derechos y libertades reconocidos en la Constitución y en los Tratados Internacionales.

ley proteccion de datos garantia de los derechos digitales

Dentro de esos derechos digitales están:

  • Desconexión digital en el ámbito laboral
  • Intimidad de los trabajadores en el uso de sistemas de geolocalización y videovigilancia
  • Educación digital y protección de menores
  • Bono social de acceso a Internet
  • Neutralidad de la red
  • Testamento digital

Desconexión digital

Se regula el derecho de los trabajadores a la desconexión digital. Es decir, una vez finalizado su horario laboral, no tienen obligación de responder a llamadas o correos electrónicos de trabajo.

Intimidad de los trabajadores

Se prohíbe la grabación de los trabajadores en determinadas zonas de la empresa como aseos, comedores o zonas de descanso.

Igualmente el uso de sistemas de geolocalización debe respetar la intimidad de los empleados.

Educación digital y protección de menores

Debe garantizarse una formación digital para un uso seguro de los medios respetuoso con la dignidad humana y los valores constitucionales.

La nueva ley establece los 14 años como edad límite para que los menores puedan otorgar su consentimiento para proteger sus datos personales.

Bono social

Para garantizar la universalidad de Internet, el gobierno establecerá un Plan de acceso con un bono social para que aquellas personas más desfavorecidas tengan la opción de acceder a la red en igualdad de condiciones.

Neutralidad de la red

Los proveedores de servicios de Internet garantizarán el acceso a todos los usuarios sin discriminación alguna. Y garantizarán también la seguridad de las comunicaciones a través de la red.

Testamento digital

Los herederos o familiares directos, siempre que el fallecido no lo haya prohibido expresamente, puedan gestionar o suprimir todos sus contenidos ‘online’, desde información, cuentas bancarias o en redes sociales y otros servicios similares.

A pesar de la relevancia de estos derechos, hasta hace relativamente poco tiempo apenas se les conocía, ni el riesgo que puede conllevar el no ejercerlos.

Escándalos como la fuga de millones de datos personales de Facebook o programas ilegales de espionaje realizados por compañías privadas están consiguiendo que nos concienciemos y adoptemos medidas para defender algo que es nuestro por derecho propio. A pequeña escala, las aplicaciones del móvil, que solicitan acceso a nuestros contactos, fotos y otra información personal que no necesita para su funcionamiento, están a la orden del día.

Los cambios tecnológicos requieren legislaciones que los contemplen. Las posibilidades de la red y de las plataformas sociales ha creado una brecha entre los usuarios y las compañías, que luchan por comercializar el oro negro del siglo XXI, los datos personales. Sólo cabe esperar para ver de qué lado se pondrán los organismos gubernamentales.

Mientras tanto, conozcamos nuestros derechos.

Es la única forma de defenderlos.

Descargar LOPD-GDD

Aquí puedes descargar el proyecto de LOPD-GDD en formato pdf.

¿Necesitas cumplir la LOPD-GDD?

Como cumplir la LOPDGDD (nueva LOPD 2018)
4.6 (92.73%) 11 votos