Adaptación de las webs al nuevo reglamento de protección de datos

0
376

La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) es la legislación de obligado cumplimiento para quienes gestionan datos de carácter personal hasta el 25 de mayo de 2018, que será cuando el Reglamento General de Protección de Datos (RGPD) se impondrá a escala europea.

Todos los negocios, asociaciones o particulares que manejan datos de carácter personal deberán adaptar sus procedimientos antes del 25 de mayo de 2018 para garantizar su correcto tratamiento.

Diferencias entre la LOPD y el RGPD

Clasificación de los datos por niveles

Mientras que la LOPD clasificaba los datos tratados en tres categorías —a saber, de nivel básico, medio o alto—, y planteaba las medidas técnicas que se debían aplicar en función del grado, el RGPD no establece niveles ni especifica medidas particulares en el plano técnico, si bien sí habla de datos «especialmente sensibles».

Notificación de ficheros

En virtud de la LOPD, todas las empresas y entidades que manejan datos deben notificar a la Agencia de Protección de Datos (AEPD) sobre los ficheros que gestionan (listas de clientes, proveedores, trabajadores, usuarios web, etc.). Esto se puede hacer mediante la página  AEPD y es de obligado cumplimiento hasta el 25 de mayo de 2018.

Con el RGPD desaparece la obligación de presentar ficheros ante la autoridad, si bien se debe llevar un «registro de actividades de tratamiento», de carácter interno en lugar de público.

Documento de seguridad

La LOPD requiere que tengamos un documento de seguridad en el que consten la estructura de los ficheros, la infraestructura informática, los usuarios según zonas y accesos, los dispositivos asociados y los protocolos en vigor.

A partir de finales de mayo de 2018, esta información podrá englobarse en el registro de actividades.

Compromisos de seguridad

Actualmente, debemos firmar contratos tanto con los trabajadores como con terceros que accedan a los datos (por ejemplo, gestores, informáticos, etc.).

El RGPD amplía el contenido de los contratos con terceros requiriendo descripción detallada de los servicios prestados, posibles transferencias internacionales, etc.

Cláusulas y avisos legales

La LOPD ya especificaba que se debía advertir al cliente o usuario de la recogida de datos y de los derechos ARCO (acceso, rectificación, cancelación y oposición) en las facturas, presupuestos, contratos, impresos, correos electrónicos, imágenes, cartel de videovigilancia y avisos legales en la página web.

Ahora el RGPD ampliará la información que se facilita al cliente o usuario (por ejemplo, la base jurídica para el tratamiento, quién es el destinatario de los datos, derechos de los afectados, etc.), si bien ofrece la posibilidad de proporcionarla «por capas», en función del nivel de recogida.

Medidas técnico-organizativas

En la actual LOPD se detallan medidas de seguridad como la necesidad de crear claves de acceso para cada usuario, copias de seguridad, control de acceso físico a los servidores, implementación de antivirus, cifrado de datos, etc. y, en el caso de los datos en papel, de los criterios de archivo y destrucción, entre otras.

Aunque la RGPD no especifica qué medidas de protección a aplicar, se habla de «responsabilidad activa» o, lo que es lo mismo, de actuar con iniciativa en función de análisis de riesgos.

Otros aspectos relevantes del nuevo reglamento

Puntos clave de la nueva normativa:

  • Consentimiento libre, informado, específico e inequívoco para las diversas finalidades. Es decir, debemos informar claramente al cliente o usuario de qué datos recabamos y cómo vamos a usarlos y, para cada finalidad con la que vayamos a utilizarlos, deberemos facilitar la información correspondiente, para que pueda elegir si desea que sus datos se usen o no de esa manera. Además, quedan prohibidos el consentimiento tácito y las casillas remarcadas en páginas web. (Es decir, aunque un cliente nos haya dado su número de teléfono, no podremos mandarle SMS promocionales a menos que haya aceptado explícitamente mediante firma).
  • Principio de transparencia en avisos legales. Todos los textos legales deben redactarse con un lenguaje comprensible.
  • Se mantienen los derechos ARCO.Sin embargo, no hay plazo de respuesta.
  • Notificación de fallos de seguridada la AEPD y a los afectados.
  • Delegado de protección de datos. En los casos en que se gestione datos a gran escala se nombrará la figura del delegado.
  • Regulación de las transferencias internacionales de datos. En caso de enviar o almacenar datos fuera del espacio de la UE, se deberá solicitar permiso específico.

Noticias relacionadas

RGPD en las webs inmobiliarias

Protección de Datos: Guía para el ciudadano