25 de mayo de 2018. Es la fecha tope para que pymes y autónomos se adapten al Reglamento General de Protección de Datos (RGPD). Pero antes los trabajadores por cuenta propia es la actual Ley de Protección de Datos (LOPD) la que ha de adaptarse a las disposiciones de la norma europea en menos de un año. El anteproyecto de la nueva LOPD (ALOPD) llegaba hace apenas una semanas para engarzar las disposiciones de la RGPD. ¿Cuáles son los puntos claves de este anteproyecto que afectan a la actividad de tu negocio?
El anteproyecto de lo que pretende ser la sucesora de la actual LOPD 15/1999, aún en tramitación, consta de 78 artículos que incorporan el RGPD al ordenamiento jurídico español. Ayer se cerró el plazo para alegaciones por parte de los expertos en su fase de audiencia y su entrada en vigor se espera en la misma fecha límite para la puesta en marcha de RGPD.
Son numerosas las novedades introducidas en este proyecto que en líneas generales refuerza el control sobre los datos de particulares otorgándoles mayor seguridad en su tratamiento. Entre los cambios que contempla la nueva norma y que debes tener en cuenta para implementarlos en tu negocio destacan:
1. Adiós al consentimiento tácito
El nuevo reglamento de Protección de Datos desestima el consentimiento tácito que realiza el cliente para el uso de sus datos y obliga a la revisión de las cláusulas de las empresas para que el consentimiento sea libre, específico, informada e inequívoco como reza la normativa.
El artículo 7 de la ALOPD referido al tratamiento basado en el consentimiento del afectado incorpora y clarifica esta disposición. Por tanto, todos los consentimientos realizados tras el 25 de mayo de 2018 han de ser expresos y revocables.
Además se fija en 13 años y no 14 como actualmente la edad para prestar consentimiento.
2. Información por capas
En el apartado de políticas informativas para cumplir con el derecho de los afectado a conocer el tratamiento de sus datos , cobra especial importancia el modelo de información por capas mediante el cual debes presentar la información básica detallada en un primer nivel y más detallada en un segundo nivel.
Conforme a las indicaciones de la La Agencia de Protección de Datos estas son las informaciones que debes aportar:
- Responsable del Tratamiento
- Finalidad
- Legitimidad
- Destinatarios de cesiones o transferencias
- Derechos de las personas interesadas
- Procedencia de los datos
- Principios de lealtad y transparencia
3. Delegado de Protección de Datos
Si hay una figura cuya regulación interesa conocer especialmente a autónomos y pymes esa es la del delegado de protección de datos . El RGPD exige que las empresas que hagan tratamiento de datos a gran escala cuenten con un profesional que haga las veces de auditor interno y, en su papel, identifique los riesgos en la protección de determinados datos y aporte soluciones a la compañía.
Los artículos del 35 al 38 del anteproyecto de la nueva LOPD abordan de forma detallada la designación, la cualificación, la posición y los de casos de intervención de esta figura. Cabe indicar que la norma aclara mediante un listado aquellas empresa obligadas a contar con esta figura. Además, la norma permite un delegado de protección de datos externos facilitando así el cumplimiento a las pymes obligadas.
4. Régimen sancionador: infracciones leves, graves y muy graves
Las sanciones impuestas sobre infracciones al RGPD son especialmente elevadas yendo desde los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global). ¿Cómo se conjuga esto en el anteproyecto de la nueva LOPD? El texto del anteproyecto, aún no aprobado, dedica todo el capítulo VIII a articular las posibles sanciones en caso de infracción leve, grave o muy grave.
Además el anteproyecto también especifica el tratamiento de los ficheros de morosos, la listas Robinson para salvaguardar el derecho de publicidad no deseada o los sistemas de videovigilancia.
De aprobarse finalmente este anteproyecto, ¿está tu negocio preparado para reforzar tu sistemas de protección de datos?