PROTECCIÓN DE DATOS

¿Qué es y cómo nos afecta?

 

¿Qué es Reglamento General de Protección de Datos?

En pocas palabras es el marco común de la comunidad europea en cuanto a Protección de Datos se refiere, de obligado cumplimiento desde el 25 de mayo de 2018 tras dos años de carencia.

Su «nombre corto» es RGPD (UE) 2016/679. 

Ante la antigua normativa se incorporan cambios significativos, como tratamiento de datos a menores, más derechos fundamentales para las personas, la corresponsabilidad, acciones como la comunicación de brechas de seguridad, la obligación de la pseudonimización, y GRANDES CAMBIOS, como la obligación de realizar una Evaluación de Impacto para algunas organizaciones y aparece la figura de Delegado de Protección de Datos  

¿Qué es un Delegado de Protección de Datos?

El DPO (Data Protection Officer) o traducido al castellano Delegado de Protección de Datos (DPD). 

El DPD es una figura independiente que deberá ejercer una función preventiva y proactiva, supervisando, coordinando y divulgando la política de protección de datos que siga la empresa. Lo deberá hacer tanto en el de la misma como desde dentro hacia el exterior. El DPD es un punto de conexión entre el responsable del fichero o tratamiento, el afectado y la/s autoridad/es de control, como especifica en los Artículo 37 al 39 del reglamento europeo.

El Data Protection Officer es una figura necesaria o aconsejable para las entidades, empresas, instituciones o cualquier agente que procese datos personales, pero no obligatoria generalmente. Asimismo, su designación, no eximirá a la empresa u organización de responsabilidad por los diferentes tratamientos que se lleven a cabo con los datos de las personas ni, por supuesto, del cumplimiento de las normas del Reglamento.

¿Hay empresas que están obligadas a tener un DPD?

En efecto, el Reglamento obliga a ciertas organizaciones a designar a un DPD forzosamente, pero es un punto realmente ambiguo para saber con exactitud las empresas que deberán asignar a este Delegado de Protección de Datos.

¿Qué empresas están obligadas a designar a un DPD?

Empresas de más de 250 trabajadores.

– Autoridades y organismos públicos. Excepto los tribunales que actúen en el ejercicio de sus funciones.

– Organizaciones que requieran una observancia habitual y sistemática de datos a gran escala.

– Colegios profesionales.

– Centros docentes (con excepciones).

– Entidades que explotan redes y prestan servicios de comunicaciones electrónicas (con excepciones)

– Prestadores de servicios de la sociedad de la información.

– Establecimientos financieros de crédito.

– Entidades aseguradoras y reaseguradoras.

– Empresas de servicios de inversión.

– Distribuidoras y comercializadoras de energía (con excepciones).

– Actividades de publicidad y prospección comercial.

– Centros sanitarios/médicos/profesionales de la medicina. (con excepciones)

– Entidades que emitan informes comerciales que se refieran a personas físicas.

– Actividades de seguridad privada.

Aunque para este tipo de organizaciones es obligatorio, para el resto de organizaciones según la Agencia Española de Protección de Datos es aconsejable, ya que el DPD es una figura que velará por el interés del cumplimiento de RGPD y será el nexo de unión entre las Organismos de Control y la empresa; la organización no se verá tan “desnuda” al tener a un elemento perfectamente formado y competente en tema de Protección de Datos. En la nueva Ley de Protección de Datos Personales y garantía de los derechos digitales vienen mejor definidas las obligaciones de dicho DPD y las multas por carecer de este elemento obligatorio en algunas empresas.

 

¿Qué sanciones tiene el incumplimiento de las leyes de Protección de Datos?

Infringir la nueva normativa puede suponer multas de hasta el 4% sobre el volumen de facturación anual, con tope de 20 millones de euros para los casos más graves, siendo el Organismo de Control quien decida la gravedad de la infracción.

Estas cantidades astronómicas están pensadas para que las organizaciones que a sabiendas que incumplen con la ley, no les sea rentable hacer una previsión para el pago de multas y seguir incumpliendo la ley porque les sea más rentable pagar multas que adecuar o limitar sus tratamientos.

Las empresas que no se adapten a la nuevas normativas de Protección de Datos, se arriesgan a multas millonarias, suponiendo incluso el cierre para algunas de ellas, por la elevada cuantía de las sanciones.

Sin olvidar por supuesto que algunas faltas graves van regidas por el Código Penal.

 

¿Qué es la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales?

Para entenderlo de forma sencilla, diremos que es la nueva LOPD; es la adaptación española del reglamento europeo, por la que ha de regirse este Estado Miembro.

Su nombre corto es «LOPDGDD 3/2018» y como decíamos antes es una adaptación española a unas directrices europeas. Hay varios cambios  y especificaciones determinantes diferentes aspectos y alguna novedad que resumiremos lo máximo posible:

Funciones y responsabilidades más definidas para los ENCARGADOS DE TRATAMIENTO.

– Reconocimiento expreso de los derechos digitales.

– Canales de denuncias.

– Infracciones de carácter GRAVE para las empresas que estén obligadas a tener un Delegado de Protección de Datos y no lo hagan.

 

Las implantaciones baratas.

Como consultores especializados en implantación en RGPD y LOPDGDD,  es necesario explicar que es IMPOSIBLE realizar un trabajo completo, serio y que se ajuste al cumplimiento sobre protección de datos con costes como tratan de implantar las empresas “low cost” por 200 o 300 euros, ya que el Reglamento exige una vigilancia del sistema de seguridad de la información CONTINUO, y por costes es algo totalmente imposible de llevar a cabo.

Implantaciones fantasma.

Una “trampa” de empresas de formación bonificada es vender el curso de RGPD/LOPDGDD a un trabajador con el fin de usar el saldo disponible que tienen los trabajadores, que con esto ya está.

Es cierto que el reglamento dice que los usuarios de una organización deben tener formación en protección de datos, luego restaría hacer una implantación y seguimiento de la misma, son sus medidas, su documento de cumplimiento, su análisis de riesgo, análisis de impacto, comunicaciones, contratos, etc…

¿Necesitas más información?