Actualidad
Reglamento de Protección de datos LOPD / entrada en vigor 25 de mayo 2018
- 24/04/2018
- Publicado por: Diaconía Madrid
- Categoría: Noticias
¿Qué es la Ley de Protección de Datos? ¿Y el nuevo Reglamento de Protección de Datos a nivel europeo?
Desde Diaconía Madrid queremos explicarte cómo funciona, ¿es realmente obligatorio aplicar la implantación RGPD a nuestra entidad? Si te queda alguna duda, escríbenos a info@diaconiamadrid.org, intentaremos ayudarte al respecto.
Definición de Ley Orgánica de Protección de Datos Personales: La Ley de Protección de Datos (LOPD) es la normativa que se encarga de regular el correcto uso de datos de carácter personal de terceros. Pero no es la única ley que afecta a este ámbito tan delicado de tu entidad.
Aunque la Ley de Protección de Datos no sólo interviene en el ámbito empresarial, prácticamente cualquier negocio o entidad se ve afectado por ella. Y es que resulta que toda entidad que trate con datos sensibles está obligada a ajustarse a sus exigencias y a una serie de requisitos.
¿Sabes si tu entidad debe plantearse la implantación LOPD?
Cuando hablo de tratar con información personal o sensible de terceros, me refiero a que cualquier dato de esta naturaleza se vea implicado en alguna de las actividades de una entidad sin ánimo de lucro (asociación, iglesia, fundación…).
Por ejemplo, estaríamos hablando de gestión de datos personales y, por ende, sería necesario acogerse a la normativa de la Ley de Protección de Datos, si contamos con una base de datos de miembros, socios, beneficiarios, si realizas inscripciones para actividades, tienes cámara de videovigilancia, grabas tus actividades, publicas boletines o directorios, etc.
Como ves, tratar con datos personales es más común de lo que uno puede plantearse en un principio. Esto nos llevaría al siguiente paso, ¿es obligatorio regularizar este tema?
Implantación LOPD en mi entidad
El debate sobre la obligatoriedad de la implantación de la LOPD en una entidad no existe realmente. Cumplir con los requisitos de la normativa de la Ley de Protección de Datos Personales es un tema totalmente obligatorio a nivel legal. Siempre. Siempre que trates con datos sensibles de terceros, como te he explicado antes.
La correcta implantación LOPD en tu entidad va más allá de ser un mero trámite que llevamos a cabo para evitar sanciones. Conlleva una declaración de intenciones para con nuestros públicos –trabajadores, socios, miembros, colaboradores, proveedores, beneficiarios actuales o potenciales, personas que hayan solicitado información sobre algún servicio o que hayan accedido a darte acceso a datos de carácter personal, etc.-.
Es decir, los “incentivos” para cumplir con la normativa de la LOPD existen, ya que una entidad puede ser sancionada duramente de no acogerse de forma adecuada a la regulación vigente. Y sin embargo, seguir de forma adecuada la Ley de Protección de Datos Personales implica no solo esquivar la bala de la multa de turno, sino hacer que tu entidad esté mejor organizada a nivel administrativo y sea respetuosa las personas con las que se relaciona.
Adaptación de la LOPD a la normativa europea RGPD: 25 de mayo de 2018
Pero no sé si sabes que la normativa se actualiza. Pues sí, lo hace. La vigente actualmente, al menos en el momento en el que ando escribiendo esto, es la aprobada en mayo de 2016.
El 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD) a nivel europeo. ¿Recuerdas las “multas de turno” de las que te hablaba antes? Bien. Pues desde la aplicación de la nueva normativa, las pymes, autónomos o cualquier entidad o negocio que infrinja la Ley de Protección de Datos, podrá enfrentarse a multas de hasta 600.000 de euros, en función de la gravedad de la infracción.
Tienes hasta el 25 de mayo para ajustar tu entidad al Reglamento General de Protección de Datos a nivel europeo.
Entre las exigencias del nuevo reglamento de la RGPD se recogen la inclusión de sistemas de cifrados o con doble autenticación, aun tratándose de información sensible de carácter básico, medidas como la obligación de implantar sistemas de cifrado y de doble factor de autenticación, incluso sobre los datos considerados de nivel básico, si el riesgo así lo exige.
También tendremos que comunicar las posibles taras o fugas de información en los sistemas de seguridad, de caber la posibilidad de acceso a la misma por parte de agentes.
¿Qué trae de nuevo la normativa RGPD?
El principio de responsabilidad proactiva del nuevo Reglamento General de Protección de Datos a nivel Europeo.
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
A partir de este conocimiento, como empresario, debes determinar de forma explícita la forma en que aplicas las medidas que el RGPD prevé, asegurándote de que esas medidas son las adecuadas para cumplir con el mismo y de que puedes demostrarlo ante los interesados y ante las autoridades de supervisión.
En resumen, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Las principales cuestiones que habrá que tener en cuenta de cara a la aplicación del RGPD son:
- Relación contractual.
- Intereses vitales del interesado o de otras personas.
- Obligación legal para el responsable.
- Intereses vitales del interesado o de otras personas.
- Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos. (Cesiones de datos).
- El consentimiento. Debe ser inequívoco, es decir, debe estar super claro de forma tácita, que este consentimiento se ha prestado a través de una manifestación del interesado o mediante una clara acción afirmativa.
Además, como te mencionaba, debe ser explícito, además de claro, conciso y directo en las siguientes situaciones:
- Tratamiento de datos sensibles.
- Adopción de decisiones automatizadas.
- Transferencias internacionales.