Nueva LOPD: ¿qué cambios deben incorporar las empresas con el nuevo reglamento de protección de datos?

En una hora se escriben 20 millones de tuits y se visualizan 183 millones de vídeos en YouTube en todo el mundo. Los números de Internet son impresionantes. Y en medio de esa vorágine de ceros y unos hay también multitud de datos personales. Son datos privados de usuarios que la Unión Europa quiere proteger con la nueva Ley de Protección de Datos.

La nueva LOPD

El enfoque de protección de datos dentro de la Unión Europea es muy distinto al de otras regiones del mundo, donde las legislaciones son mucho más laxas. Aquí, sin embargo, en mayo de 2016 entraba en vigor el Reglamento General de Protección de Datos de la Unión Europea (RGPDUE), una normativa europea que busca regular el sector más allá de las leyes de cada país miembro.

Debido a las muchas novedades que incorpora la normativa, se han dado dos años de plazo para su cumplimiento obligatorio. Así, comenzará a aplicarse el 25 de mayo de 2018.

¿Qué cambios trae el nuevo reglamento LOPD?

La normativa europea se aplicará, como hasta ahora, a responsables o encargados de tratamiento de datos establecidos en la Unión Europea. También, como se señala desde la Agencia Española de Protección de Datos (AEPD), se verán afectadas empresas que, aun estando fuera de la UE, traten datos de ciudadanos europeos.

Uno de los ejes fundamentales del reglamento es la llamada responsabilidad activa. Actuar cuando ya se ha producido el problema es insuficiente cuando hablamos de datos tan sensibles como, por ejemplo, información bancaria. Por ello, la normativa contempla que sean las propias empresas las que prevean riesgos y posibles daños.

Así, el reglamento general de protección de datos refleja una batería de medidas para asegurar el compromiso de las empresas con la protección de datos. Según recoge la AEPD, son las siguientes:

• Protección de datos desde el diseño y por defecto
• Medidas de seguridad
• Mantenimiento de un registro de tratamientos
• Realización de evaluaciones de impacto sobre la protección de datos
• Nombramiento de un delegado de protección de datos
• Notificación de violaciones de la seguridad de los datos
• Promoción de códigos de conducta y esquemas de certificación

Evaluación del riesgo y respuesta rápida

Con estas medidas, la Unión Europea busca que la evaluación de los elementos que puedan suponer un peligro para la protección de datos sensibles se convierta en un asunto central. Las compañías tendrán también que evaluar el impacto sobre la protección de datos y someterse a auditorías bienales.

“Es imprescindible tomar medidas de control previas a la puesta en marcha del RGPDUE. Para ello debemos poner en marcha las valoraciones del riesgo y evaluaciones de impacto, ya que nos permitirá conocer nuestra exposición para poder realizar posteriormente una trasferencia del riesgo al mercado asegurador de una forma medible y justificada”, señala Cristina Fernández-Miranda, Directora de Instituciones Financieras y Riesgos Especiales de Willis Towers Watson.

Además, el reglamento europeo contempla una respuesta rápida en caso de que se produzca una brecha en la seguridad. El responsable de protección de datos de cada empresa tiene un máximo de 72 horas para notificar cualquier violación a las autoridades competentes.

“La nueva regulación lo que está pidiendo a las empresas es que tomen conciencia de la importancia de los datos con los que trabajan, de su protección y de la necesidad de avisar a los perjudicados en caso de que la seguridad de los mismos se haya podido ver violentada”, añade Fernando Redondo, Director de Gerencia de Riesgos de Willis Towers Watson.

¿Y el derecho al olvido?

Uno de los aspectos más mediáticos de la nueva ley de protección de datos fue el debate sobre el derecho al olvido. ¿Tienen el ciudadano derecho a que se eliminen sus datos personales de las bases de datos? La nueva normativa entiende que sí.

El derecho al olvido, tal como refleja la ley, es el derecho que tienen los ciudadanos a lograr que sus datos personales sean suprimidos cuando estos ya no cumplan la finalidad con la que fueron recogidos o cuando estos se hayan recogido de forma ilícita, entre otras razones. Además, el afectado puede solicitar que se bloqueen en los buscadores de Internet enlaces que lleven a informaciones erróneas que le afecten directamente.

Aunque menos conocido, otro aspecto central de la normativa es el derecho a la portabilidad. El usuario podrá solicitar a la empresa que esté gestionando los datos recuperarlos en un formato que le permita su traslado a otra compañía responsable.

La nueva LOPD trae muchos cambios bajo el brazo. En el centro de todo: la protección de la privacidad de los usuarios y nuevos niveles de responsabilidad para las empresas. Todavía queda casi un año para que su aplicación sea obligatoria, tiempo más que suficiente para profundizar en los cambios legislativos y prepararse para la protección de datos del futuro.