Please enable JS

GDPR, la nueva regulación de la protección de datos de carácter personal

GDPR, nueva regulación de la protección de datos

GDPR, la nueva regulación de la protección de datos de carácter personal

09/01/2018 / José Estañ Bistuer /GDPR y Legislacion,.categoriesblogsTecnologia documental

Puedes cambiarte el nombre o cambiar de domicilio, pero La Sombra lo sabe”. Eso decía una canción de 1930. La Sombra conocía tus datos personales; no había forma de escapar. Pero en los años 30 ni siquiera se había construido el concepto de datos de carácter personal, ni se pensaba en su protección, ni mucho menos en el GDPR.

Qué es el derecho a la protección de datos


Desde entonces la sociedad se ha ido convirtiendo en una sociedad de la información, global y tecnológica. Las empresas y las administraciones públicas manejan una cantidad de datos que no tiene precedentes; la libre circulación de datos dentro de la Unión Europea y la transferencia de datos a terceros países forman parte del engranaje de la economía y de la vida social.

Por otra parte, todos contribuimos, de manera no siempre consciente, a esparcir nuestros datos personales a lo largo y ancho de las redes sociales. ¿Se ha vuelto peligrosa esta sociedad de la información? Lo cierto es que nuestra vida tal como ahora la concebimos no sería posible sin el intercambio de datos, pero este tráfico de información puede volverse en contra y por eso los legisladores de los países de tecnología avanzada han elaborado normas para la protección de los ciudadanos.

¿De qué hay que protegerse? El derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención. También debe entenderse como un poder de disposición y control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero. Por último el derecho a la protección de datos incluye la facultad de las personas para saber quién posee sus datos personales y para qué, así como la capacidad para oponerse a esa posesión o uso.

Qué normativa lo regula. De la Ley de Protección de Datos al GDPR


En España, la protección de los datos de carácter personal se ha venido basando en la Ley Orgánica 15/1999, pero esta norma dejará de estar vigente tras el inicio de la aplicación del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo), conocido como GDPR, por sus siglas en inglés. Y es correcto referirse al momento de aplicación más que al de entrada en vigor, porque realmente el GDPR entró en vigor en 2016, pero su aplicación está en suspenso hasta el próximo 25 de mayo de 2018.

GDPR es un Reglamento de aplicación directa, lo que quiere decir que sus artículos son aplicables en los diferentes Estados de la Unión tal como están redactados, sin que sea necesario adaptarlos mediante una transposición a una norma nacional, ya que uno de los objetivos del GDPR es establecer unos criterios uniformes para la protección de datos en toda la Unión, que se corresponda con una sociedad cada vez más globalizada. Sin embargo, en España se está preparando una Ley Orgánica para facilitar la aplicación del GDPR, es esta una facultad que el Reglamento reconoce a los Estados miembros y que está siendo ejecutada por varios países además del nuestro. Esta nueva Ley Orgánica actualmente se encuentra en tramitación y será la que sustituya a la actual Ley Orgánica 15/1999 (el texto del anteproyecto puede consultarse aquí: Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal).

Qué cambia el GDPR


La principal modificación del GDPR es la exigencia de una proactividad en materia de seguridad a los responsables de los ficheros. Es necesario por tanto llevar a cabo labores de evaluación del riesgo para adelantarse a posibles quiebras de seguridad con el fin de adoptar las medidas oportunas para evitarlas.

Además, a los requisitos de proactividad y evaluación del riesgo, se une la exigencia de que estas tareas sean verificables, es decir que se pueda demostrar que han sido realizadas. Y en esta misma línea se incluye la obligación de llevar a cabo un registro de las actividades de tratamiento efectuadas.

Y en caso de que se produzca un uso indebido de los datos, con independencia de que se hayan tomado o no las medidas preventivas adecuadas, los responsables de los ficheros deberán comunicarlo a los afectados y a la Autoridad de Protección de Datos en un plazo no superior a las 72 horas.

El propósito de estas exigencias del GDPR es doble: evitar las quiebras y violaciones de seguridad y  hacer posible el cumplimiento de los derechos de los interesados que han facilitado los datos. Entre estos derechos se encuentran el derecho a la supresión (derecho al olvido); el de acceso, que ya existía pero que ahora incluye el derecho a obtener una copia de todos los datos personales; y el derecho a la portabilidad de los datos, que implica que los datos personales del interesado se transmiten directamente de un responsable a otro. Estos y otros derechos amplían y complementan los tradicionales derechos ARCO (Acceso. Rectificación, Cancelación, Oposición), que siguen vigentes.

Otra de las novedades del GDPR hace referencia a los sujetos, ya que ahora aparece la figura del Delegado de Protección de Datos, que será obligatorio para las Administraciones Públicas, con excepción de los tribunales, así como para un gran número de empresas. También aparecen las nuevas figuras de los Corresponsables del Tratamiento y las de los Representantes de los responsables o de los encargados no establecidos en la Unión.

Por último debe destacarse el aspecto sancionador del GDPR, que establece sanciones de hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

Qué puede hacer la Gestión Documental para ayudar a cumplir las nuevas obligaciones del GDPR


De todo lo visto hasta aquí, se desprende que para cumplir con las obligaciones del GDPR y hacer posible el ejercicio de los derechos que otorga a los interesados, las empresas y Organismos Públicos, deberán tener un control de los datos de que disponen, con qué finalidad y con qué limitaciones, por cuánto tiempo pueden y en qué dispositivos se encuentran.

Asimismo los responsables y encargados, para cumplir lo establecido por el GDPR, deberán estar en condiciones de acreditar que han llevado a cabo todas las actividades de evaluación del riesgo adecuadas, que han realizado los correspondientes registros de actividades de tratamiento y que disponen del consentimiento claro y explícito de los interesados para el uso de sus datos.

Para cumplir con estas obligaciones es imprescindible contar con políticas documentales y con políticas de seguridad y de protección de datos. Igualmente será imprescindible que se establezca un sistema de conservación de evidencias electrónicas, que permita acreditar el cumplimiento de las obligaciones legales, empezando por la constancia del consentimiento de los interesados para el tratamiento de sus datos. Todo ello basado en la existencia de un repositorio documental unificado. La transformación, que de ninguna otra manera se puede llamar al cambio requerido por el Reglamento, debe estar ya en marcha llevando a cabo actividades de Evaluación (organizativas, formativas, de localización de datos…), de Adecuación y Tratamiento (Análisis de riesgos, Políticas documentales…) y de Soporte (Asesoramiento jurídico, Formación…).

En definitiva, para asegurarnos de que La Sombra no pueda apoderarse o hacer mal uso de los datos que nuestras organizaciones manejan, habrá que anticiparse al riesgo y realizar las tareas preventivas adecuadas, siempre adaptándose a las características y volúmenes del tratamiento que se lleve a cabo. Y en cualquier caso, tratemos muchos  o pocos datos, más o menos sensibles, siempre será necesario adoptar un punto de vista claramente documental, pues el soporte documental siempre va a ser el lugar donde se encuentren los datos y el medio de acreditar las actividades realizadas. Todo para cumplir con el GDPR.

Comentarios/0