El cambio normativo de la LOPD al nuevo RGPD.


El pasado 27 de abril de 2016 entró en vigor el Reglamento Europeo relativo a la protección de las personas físicas (RGPD) en lo que respecta el tratamiento de sus datos personales y la libre circulación de estos datos.

El 25 de mayo de 2018 será aplicable a todas las empresas que traten datos personales. Será obligatorio en todos sus elementos y de aplicación directa en cada Estado miembro de la UE.

¿Cómo afecta a nuestras empresas esta entrada en vigor? 


Cualquier norma nacional previa que regulase la protección de las personas en lo relativo al tratamiento de sus datos, no será aplicable a partir de la fecha prevista si contradice la normativa europea.

En el caso de España, la aplicación del RGPD supondrá la derogación de nuestra conocida LOPD y el reglamento que desarrolla esta Ley.

Los Estados miembros podrán ampliar el texto de la RGPD sólo en lo que la norma denomina materias adicionales y que hacen referencia, entre otras cuestiones, a:

• La libertad de expresión de las personas,
• Ampliación de garantías en la protección de los datos en ámbitos laborales,
• y a otras cuestiones organización de orden público.

a. Cambio de actitud: de lo reactivo a lo proactivo.

Hasta ahora, la práctica común de las empresas en esta materia se ha limitado a declarar un fichero, insertar unas cláusulas en la correspondencia y disponer de un documento de seguridad declarando las medidas adoptadas. 

Las empresas confiaban que estaban cubiertas y protegidas ante posibles sanciones por incumplimiento porque: 

• Declaraban sus ficheros al Registro General de la AEPD, 
• Disponían de un documento de seguridad con una lista, más o menos válida de medidas de seguridad, e 
• Insertaban algunas cláusulas informativas, en sus escritos y correos electrónicos. 

Esto cambia con la aplicación del RGPD ya que se centra en los tratamientos de los datos personales contenidos o destinados a ser incluidos en un fichero y en el cumplimiento total de todo lo previsto en la normativa.

¿Qué le ocurrirá al Registro de Protección de Datos donde se daban de alta los ficheros de las empresas? 

El Registro se cierra y el fichero pasa a ser un elemento ya no tan relevante. Las empresas no tendrán la obligación de declarar los ficheros que utilizan.
El fichero pasa a un segundo plano y se presta atención al tratamiento y uso que se hace de los datos personales. 
El tratamiento es un proceso dinámico (de acciones y actuaciones) y el fichero es algo estático (una agrupación de un conjunto de datos).
Al poner el foco y la atención en lo dinámico del proceso de tratamiento del RGPD surge un nuevo concepto: la responsabilidad proactiva que determina que el responsable del tratamiento ha de ser responsable del cumplimiento de sus obligaciones y capaz de demostrarlo.

El principio de accountability (cumplimiento)
No se puede esperar a que se produzca un incumplimiento para actuar (responsabilidad reactiva) sino que hay que demostrar de forma activa que se cumple con todas las obligaciones que impone la normativa. 


La mejor prueba del cumplimiento es la documentación de todos los procesos y las garantías que se han adoptado respecto a ellos. 

También podrá acreditarse la proactividad adhiriéndose a códigos de conducta (que aprueben las asociaciones u otros organismos de representativos) o a un mecanismo de certificación (instrumentos que todavía están por desarrollar).

b. Ámbito de aplicación: territorial y personal 

El ámbito de aplicación del RGPD se extiende a todos los ciudadanos de la UE. 

Independientemente de donde tenga ubicada su actividad una empresa o profesional, si el servicio o producto se dirige a un ciudadano de la UE, deberá ajustarse y someterse a lo establecido en el RGPD. Esta cuestión es importante en el ecosistema digital donde se mueven las empresas en la actualidad. 

Un ejemplo: 

Podemos ubicar o almacenar datos de nuestros clientes en servicios On Cloud pudiendo estar dichos servidores fuera de la UE, debiendo las empresas que prestan este servicio cumplir con todo lo dispuesto en el RGPD.

Países como EEUU tienen acuerdos con la UE (privacy shield) que permiten a compañías norteamericanas adheridas a este pacto, tratar datos de residentes europeos en servidores ubicados en Estados unidos. Estos acuerdos actualmente están siendo revisados y adaptados a la RGPD.
Por ello, entendemos que es preferible valorar los riesgos y ventajas antes de contratar con un servidor radicado fuera de la UE.

c. Privacidad desde el diseño y por defecto 

El Reglamento para garantizar con mayor efectividad la privacidad en el tratamiento de los datos, parte de dos conceptos fundamentales: 

• Privacidad en el diseño. La garantía de que el tratamiento del dato se realiza correctamente debe estar definida desde el momento mismo de la creación del servicio o producto que ofrezca la empresa. 
• Privacidad por defecto. La otra garantía es que por defecto el uso del dato va a ser el adecuado al respetar desde el primer momento el resto de principios que se resumen en que los datos se usan para la finalidad prevista y de la forma menos invasiva a la privacidad. 

Estos principios implican una visión integral y continua que conlleva unas medidas organizativas y técnicas adecuadas. Así pues, por defecto, el responsable del tratamiento garantizará que sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

Estas medidas organizativas y técnicas han de especificarse tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, y siempre teniendo en cuenta el estado de la técnica, el coste de las aplicaciones y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entrañen el tratamiento para los derechos y libertades de los interesados.

d. Régimen sancionador 

Con la entrada en vigor del RGPD, las sanciones se ven incrementadas. En esta tabla se describen las sanciones aplicables según el grado de las mismas:

Tipo de infracción:
Sanción Leve 2% del volumen de negocio total anual global del año anterior financiero, o 10 millones de euros (la cantidad mayor) 

Sanción Grave 4% del volumen de negocio total anual global del año anterior financiero, o 20 millones de euros (la cantidad mayor)

Para determinar el grado de sanción, la RGPD evalúa también el grado de responsabilidad entre otras circunstancias, en atención a las medidas técnicas u organizativas aplicadas. 
Así también se tendrán en cuenta otras circunstancias: naturaleza, gravedad y duración de la infracción, intencionalidad o negligencia, medidas para paliar los daños y perjuicios, infracciones anteriores, grado de cooperación con la autoridad de control, la adhesión a códigos de conducta o mecanismos de certificación.

Comentarios