Nueva ley de protección de datos: lo que debes saber y las claves para implantarla

En mayo de 2016 entró en vigor la nueva ley de protección de datos, conocida como Reglamento Europeo de Protección de Datos. No comienza, sin embargo, a operar hasta mayo de 2018, pero conviene ir familiarizándose con todas las novedades que presenta, que no son pocas. 

El organismo que vigilará el cumplimiento de esta nueva ley seguirá siendo la Agencia Española de Protección de Datos. De todos modos, y ante posibles conflictos que pudieran surgir, en la web de la AEPD todo el mundo tiene a su disposición una serie de herramientas para ir conociendo este reglamento a fondo. 

¿Por qué surge la nueva ley de protección de datos?

Como ocurre con buena parte de la normativa europea, se trata de dar una única solución en determinadas materias sensibles a toda la Unión Europea. Ocurría, como pudimos ver recientemente, con la nueva Ley de Información Alimentaria; y también se ha creído conveniente fabricar un mismo paraguas bajo el que albergar todo lo referente a la protección de datos. Las tecnologías de la comunicación y las redes sociales avanzan a tal velocidad que hacía falta legislar para toda Europa.

La Ley de Protección de Datos sigue vigente

Hasta mayo del próximo año, la Ley de Protección de Datos sigue siendo la ley en vigor; por lo tanto, cualquier duda que se nos presente a la hora de manejar datos nos remite a esta ley. Es importante saber que la ley europea, aunque esté implantada, no es de obligado cumplimiento hasta entonces.

¿Qué es lo más importante de la nueva ley de protección de datos?

La nueva ley de protección de datos (Reglamento Europeo de Protección de Datos) nace, como comentábamos, para responder de manera adecuada a la nueva realidad que existe en el mundo sobre privacidad y protección de datos. 

Pensemos que, por ejemplo, las compañías telefónicas nos ofrecen servicios en principio gratuitos a cambio de nuestros datos. El tráfico de datos es, hoy en día, un negocio que da enormes beneficios, y hay que regular ese tránsito de información para evitar abusos. 

En este sentido, el reglamento europeo destaca a la hora de proteger a los ciudadanos con respecto a la protección de sus datos personales. Hay un cambio de modelo para todas esas organizaciones que tratan datos, por lo que los individuos podrán ejercer mayor control y capacidad de decisión sobre la información que entregan de sí mismos. Pero, además, dota de un mayor poder a los reguladores europeos. 

Por último, crea un Comité Europeo de Protección de Datos, con capacidad jurídica y cuyas decisiones serán vinculantes dentro de los países miembros de la Unión Europea.

¿Qué cambios introduce esta nueva ley de protección de datos?

Aunque son muchos, destacamos aquí los principales:

  1. La ley no solo afectará a responsables y encargados establecidos en la Unión Europea, sino también a los no establecidos siempre que manejen datos de ciudadanos de la Unión. Es decir, si una empresa no ubicada en la UE realiza tratamientos derivados de una oferta de bienes o servicios para ciudadanos europeos, una mala praxis puede ser motivo de sanción.
  2. Se incorpora el derecho a la portabilidad; esto es, que el ciudadano que haya proporcionado sus datos a un responsable que los trate automatizadamente podrá solicitar recuperarlos; siempre, en un formato en el que dicha portabilidad sea factible.
  3. Derecho a la limitación en el tratamiento de los datos personales.
  4. Obtención del consentimiento del individuo expreso y no tácito a facilitar datos.
  5. Habrá evaluaciones de impacto en la protección de datos.
  6. Habrá cambios en las transferencias internacionales de datos, que ya no estarán únicamente sujetas al criterio de la Agencia Española de Protección de Datos.

¿Cómo afecta a las empresas?

Como decíamos en el punto anterior, el Reglamento Europeo de Protección de Datos se amplía a responsables y encargados no establecidos en la UE en los escenarios anteriormente expuestos. Para ello, dichas organizaciones tendrán que nombrar un representante en la Unión Europea que servirá de nexo entre las autoridades de supervisión y los ciudadanos. En caso necesario, dicho representante podrá ser destinatario de las acciones de supervisión que las autoridades designadas desarrollen. Los interesados tendrán acceso a los datos de contacto del mencionado representante entre toda la información relativa al tratamiento de sus datos personales.

¿Deben estar las empresas, y en especial las pymes, más comprometidas con la nueva ley de protección de datos?

Sin duda. Este Reglamento implica un mayor compromiso con la protección de datos. Más que una mayor carga, se trata de un nuevo modo de gestionar esta protección. Muchas medidas no dejan de ser una continuación de las ya existentes y otras, simplemente, ponen negro sobre blanco lo que ya ponen en práctica todas aquellas empresas que son pulcras en el tratamiento de la protección de datos (como, por ejemplo, aquellas que tienen detrás a Ingéniate para hacerlo).

Es importante, para evaluar distintos factores, que todas las empresas realicen un análisis de riesgo de su tratamiento de datos para poder determinar qué medias aplicar. Para ello, insistimos, nuestra consultoría estará dispuesta a realizar todo ese trabajo, de manera que no quede al azar ni el más mínimo riesgo. Las grandes empresas suelen tener detrás a un equipo jurídico que vela por sus intereses, pero las pymes necesitan de nuestros servicios para no incurrir en ningún incumplimiento.

¿Cómo afecta a los ciudadanos de la UE?

En primer lugar, podemos decir que los ciudadanos de la Unión Europea verán mucho más protegido el ámbito de su privacidad. Antes, las organizaciones no europeas que, sin embargo, sí operaban con datos dentro de nuestro territorio, se acogían a las leyes de los respectivos países en los que estaban asentadas. Eso implicaba que, si ese país era más laxo en cuestiones de protección de datos, el ciudadano quedaba expuesto a sus acciones. Ahora, estos responsables se someten a la normativa europea y, por lo tanto, tienen otros límites para tratar datos mucho más estrictos.

¿De qué manera nos protegemos con la nueva ley de protección de datos?

Por una parte, se incorpora una maravillosa novedad: el derecho al olvido. En esencia, el derecho al olvido es el derecho del ciudadano a que se elimine de las listas de buscadores todo rastro de vínculos sobre su persona que puedan ser falsos, incompletos o, sencillamente, irrelevantes por no resultar de interés público. Este tema del derecho al olvido es apasionante y lo abordaremos en un artículo posterior.

También se suma el derecho a la portabilidad, que hemos comentado anteriormente y que consiste en que, cuando el individuo necesite que sus datos se transfieran a un nuevo responsable por él designado, el responsable anterior tiene la obligación de hacerlo siempre que dicho trato de datos se haya realizado de manera automatizada.

Estas dos herramientas, en esencia, confieren a los individuos de la Unión Europea una mayor capacidad de decisión sobre sus datos y su privacidad.

Prevención, un aspecto clave

El nuevo Reglamento se basa en la prevención por parte de todas aquellas organizaciones que tratan datos. A este concepto se lo conoce como responsabilidad activa. Es decir, las empresas tienen que adoptar medidas para evitar infringir la ley. De este modo, el Reglamento prevé distintas medidas: protección de dartos desde el diseño, medidas de seguridad, mantenimiento de un registro de tratamientos, realización de evaluaciones de impacto sobre la protección de datos, notificación de violaciones de la seguridad de los datos, etcétera.

El consentimiento, explícito

Si antes bastaba con un consentimiento tácito a la hora de poner nuestros datos personales en manos de una empresa, ahora el consentimiento ha de ser libre, informado, específico e inequívoco. Tiene que haber, por tanto, una declaración o acción que indique dicho acuerdo. Por lo tanto, el consentimiento tácito dejará de ser aceptado bajo la nueva normativa. Además, ha de poder verificarse y demostrar (la empresa) que el interesado les dio su consentimiento.

Avisos de privacidad y ventanilla única

La nueva ley de protección de datos, las empresas, muy probablemente, tendrán que revisar sus avisos de privacidad, puesto que la ley cambia en este aspecto. En lo que respecta a cómo informa de este concepto la empresa al ciudadano, el Reglamento indica que la información proporcionada debe ser fácil de entender, en un lenguaje claro y conciso.

El concepto de ventanilla única afecta a todas aquellas organizaciones que están establecidas en varios Estados miembros o que hacen tratamientos que afectan a ciudadanos de varios Estados. Ante una denuncia contra una de esas organizaciones, la Agencia de Protección de Datos del país en cuestión tendrá que valorar si aquella tiene carácter nacional o transfronterizo.

¿Puedo empezar a aplicar ya la nueva ley en mi empresa?

No es, como hemos dicho, obligatorio hasta dentro de más de un año, pero por diversas cuestiones puede ser interesante para una pyme en cuestión comenzar a abordar este nuevo escenario. Para ello, como sabéis, contáis con Ingéniate. No dudes en ponerte en contacto con nuestra consultoría para que te informemos acerca de la nueva ley de protección de datos. Te estamos esperando.