¿Qué es la RGPD?
El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. En este periodo transitorio y aun cuando siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación.
El RGPD es una norma directamente aplicable, que no requiere de normas internas de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora con la Directiva 95/46. No obstante, la ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, introduce cambios importantes al RGPD que deben ser tenidos en cuenta a la hora de establecer las medidas necesarias para el cumplimiento de la ley.
¿Qué Cambia?
Este nuevo reglamento pretende unificar las distintas normativas nacionales, por una sola, aplicable al conjunto de la Unión Europea. Aunque entró en vigor a los 20 días de su publicación, el 27 de abril del 2016, solo será exigible a partir del 25 de mayo de 2018, tras lo cual, será obligatorio en todos sus elementos y directamente aplicable en cada estado miembro, sin que sean necesarias normas de transposición.
La nueva normativa, viene a reforzar y a unificar algunos aspectos, e introduce variaciones importantes o nuevos términos como:
- Garantía del derecho a la privacidad desde el inicio mismo del diseño de las aplicaciones
- Obligatoriedad de que el consentimiento sea inequívoco, explícito y verificable
- Aumento de derechos de los afectados, incluyéndose el derecho al olvido.
- Limitación del tratamiento y portabilidad de datos
- Nueva figura del Delegado de Protección de Datos y nuevo Registro de Actividades de Tratamiento
- Obligaciones expresas para los encargados del tratamiento y exigencia de garantía por parte del responsable del mismo
Como hemos visto, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias, pero hay dos elementos de carácter general que constituyen la mayor innovación del RGPD para los responsables y se proyectan sobre todas las obligaciones de las organizaciones:
- El principio de responsabilidad proactiva
- El enfoque de riesgo
La nueva LOPD, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, establece la obligatoriedad de la figura del DPO y la EIPD (Evaluación de Impacto de Protección de Datos) en sectores clave como el de la educación, por ejemplo.
¿Qué es el principio de responsabilidad proactiva?
Este principio se define como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
¿Qué es el enfoque de riesgo?
El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.
De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.
¿Qué es la EIPD?
Como consecuencia del punto anterior, cada organización debe determinar qué medidas de seguridad debe aplicarse en el caso concreto del tratamiento de datos que realiza. Para determinar dichas medidas de seguridad debe realizarse, con carácter previo, una Evaluación de Impacto de Protección de Datos o EIPD. La Agencia Española de Protección de Datos (AGPD), recomienda realizar una EIPD siempre que se traten datos de menores de edad, especialmente si tienen menos de 14 años.