La Ley Orgánica 3/2018, de Protección de Datos y RGPD – Todo lo que debes saber

El 25 de mayo del 2018 entró en vigor la nueva Ley de Protección de Datos europea, el Reglamento General de Protección de Datos o simplemente RGPD y el 6 de diciembre, la nueva LOPD española. Si tienes un simple blog o una empresa pequeña, quizás pienses que esto no va contigo, un grave error.

Imagen de Pixabay - © iAmMrRob

Es precisamente aquí dónde este reglamento entra de lleno, porque la materia prima de tu trabajo son precisamente los datos personales de tus suscriptores, clientes, potenciales clientes, alumnos, afiliados, etc.

¿Qué pasaría si un restaurante no tuviera conocimientos sobre normas sanitarias y manipulación de alimentos? ¿Y crees que es posible conducir con seguridad sin conocer las normas de circulación?

¿Crees que se puede gestionar información personal de otros sin conocer las normas que regulan su tratamiento?

Por si esto fuera poco, uno de los puntos más controvertidos y mediáticos han sido precisamente las grandes multas a las que se exponen quienes no cumplan con ella.

Si no sabes gestionar esa información conforme a las reglas y normas específicas establecidas, toda tu estrategia se tambalea y estás poniendo tu negocio en riesgo.

¿Tengo tu atención ahora?

De todos modos, tampoco te alarmes, no es lo que pretendo; simplemente pretendo concienciarte de que se trata de un tema serio. Pero la buena noticia es que, si le dedicas un poco de atención y voluntad, no es tan complicado adaptarse.

Y precisamente para facilitártelo al máximo, he dedicado todas las navidades a crear esta mega-guía en la que te guiaré en todos los puntos importantes para orientarte y prepararte para afrontar este reto que supone el nuevo RGPD y que “no te pille el toro”.

¿Qué son el reglamento y la ley de protección de datos y por qué existen?

Curiosamente, muchos profesionales siguen sin tener conocimientos sobre las normativas en materia de protección de datos, pese a que gestionan miles de leads (prospectos), contactos, bases de datos,… en definitiva, listas plagadas de datos personales.

• ¿Sabes si puedes utilizar datos de seguidores de redes sociales para mandar información sobre tus servicios?
• ¿Sabes que debes informar a tus suscriptores antes de requerirles datos?
• ¿Conoces qué derechos tienen las personas que te confían sus datos y cómo puedes permitir que puedan ejercerlos?
• ¿Sabes por cuánto tiempo puedes conservar esos datos?
• ¿Tienes idea de si tu lista está suficientemente legitimada para que puedas trabajar con ella sin jugarte el tipo?
• ¿Conoces los requisitos mínimos para realizar una campaña de email marketing adecuada al RGPD?

Podría seguir preguntando y lo cierto es que serían pocos lo que estarían en condiciones de responder correctamente a todas estas preguntas

La Ley de protección de datos y el reglamento, existen justamente por esta razón: marcan unas normas muy específicas para que gestionemos esos datos de forma segura, respetuosa con los derechos y garantista.

Por otra parte, no se trata de cumplir como una exigencia legal, se trata de asumir que la información es el activo más valioso de nuestro negocio y que de su protección depende nuestra supervivencia en un mundo digital.

Se trata básicamente de generar entornos que generen confianza, en donde la información personal sea tratada lícitamente y cada persona sea consciente de quiénes tratan sus datos, con qué finalidades, con quienes los comparten y poder asumir decisiones al respecto.

¿Qué diferencia hay entre LOPD y RGPD?

Cuando hablamos de protección de datos, son muchos los conceptos que se mezclan.

Has escuchado muchas veces las siglas LOPD, que aluden a la Ley Orgánica de Protección de datos de carácter personal, pero este año te han asaltado otras que aparecieron hasta en el Sálvame: el RGPD, el Reglamento europeo de Protección de datos.

Para que no te sigas liando con las siglas, has de saber que la LOPD es una Ley de carácter nacional; por su parte, el RGPD es una regulación europea.

La naturaleza del Reglamento es que es de aplicación directa.

¿Esto qué significa? Que no necesita ninguna ley para implementarlo, tan solo necesita de un “aterrizaje local”.

Por esa razón, la versión española del RGPD ya ha estrenado nuevas siglas, “LOPDGDD”, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, aprobada el 22 de noviembre de 2018 por el Senado después de un largo proceso de gestación y debate y publicada el 6 de diciembre en el BOE.

Como lo de las siglas se ha complicado bastante, yo he decidido llamarla llanamente “la nueva LOPD” que tiene como objetivo adaptar el RGPD al ámbito nacional, ya que en ningún caso puede contravenir ninguno de sus principios.

Solo puede regular aspectos específicos en los que cada país miembro puede pronunciarse, por ejemplo: la edad en la que establece la mayoría de edad desde el punto de vista de la protección de datos.

El derecho fundamental que la protección de datos persigue garantizar

El derecho fundamental que la protección de datos persigue garantizar y proteger es el tratamiento de los datos personales y los derechos fundamentales de las personas físicas; especialmente, el derecho al honor e intimidad personal y familiar.

Como dato curioso quiero contarte que España fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales cuando dispuso en la Constitución Española que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

Recuerda que los datos personales afectan a nuestra intimidad, nuestra privacidad y a nuestra seguridad; por esa razón, se exige a todos los que los que tratan datos personales de terceros, que cumplan con una serie de requisitos que garanticen que estos tratamientos no vulneren derechos y libertades.

Por otra parte, como decía al principio, se otorga a los ciudadanos la capacidad de controlar su propia información personal para que puedan tomar decisiones sobre ésta, como establecer quién puede utilizar su información personal, con qué finalidad, hasta cuándo y pudiendo acceder, limitar, rectificar u oponerse a esa posesión o uso.

Es el propio ciudadano quien tiene la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como decidir sobre las finalidades con las que puede ser tratada su información y con quién puede ser compartida.

Ahora quiero que me acompañes en la siguiente reflexión: vivimos en una sociedad digital, somos ciudadanos 2.0, en alusión a esta casa; no obstante, en lo relativo a la protección de datos, muchas veces actuamos como neandertales.

Desconocemos las normas mínimas para un tratamiento seguro y los derechos fundamentales que deberíamos respetar antes de requerir datos a otros. Es posible que sea un juicio un poco duro, pero no menos cierto.

El nuevo reglamento europeo de protección de datos del 2018 (RGPD)

Hay un antes y un después del RGPD; para esta servidora, el RGPD marcó el inicio de una nueva conciencia colectiva en materia de protección de datos.

La avalancha de correos que recibimos todos para regularizar el consentimiento, nos hizo percatarnos de la cantidad de empresas que tenían nuestros datos sin que fuéramos conscientes de esa circunstancia.

El principal objetivo del RGPD a mi juicio era exactamente ese, el poder tomar conciencia de todas las empresas que almacenan nuestros datos y poder tomar decisiones informadas sobre esto.

También hemos sido más conscientes de la tomadura de pelo de las empresas y sus políticas de privacidad escritas en arameo.

El RGPD impuso de forma rotunda la claridad y que se escriban para personas normales, no para juristas. Un paso adelante hacia la honestidad en la gestión de la información.

En mayo se aprobó en el parlamento europeo, el reglamento europeo de protección de datos conocido como RGPD. Ríos de tinta corrieron por las redes y las bandejas de correo electrónico se vieron desbordadas de correos revalidando el consentimiento, informando de cambios, haciendo el paripé también a cuenta del RGPD.

Lo que debes saber es que el RGPD es el marco común de la comunidad europea en lo que respecta a la defensa de los datos personales. Antes, cada país tenía su propia regulación en esta materia, algo que no tenía demasiado sentido en un mundo globalizado en donde la información personal viaja constantemente sin pasaporte.

El nuevo reglamento europeo de protección de datos define derechos y obligaciones comunes a todos los estados miembros y a todos los ciudadanos europeos.

Su objetivo es proteger el tratamiento de los datos personales de ciudadanos europeos y esto ha obligado a los procesadores de datos personales a entrar dentro del marco del RGPD, ya que este reglamento obliga a adecuarse a todo el que trate datos personales de ciudadanos europeos, resida o no en la unión europea.

EL RGPD nace con la misión de fortalecer los derechos fundamentales de los ciudadanos en la era digital y armoniza también las obligaciones de las empresas en un mercado único digital.

He de señalarte que el objetivo de la normativa de protección de datos es que cada persona tenga control sobre el uso de sus datos personales; al tratarse de un derecho fundamental, está sujeto al cumplimiento de una serie de principios que todos los que tratamos datos debemos acatar.

Gracias al RGPD, los principales mercaderes de la información personal, como Google o Facebook, han tenido que implantar cambios profundos en sus políticas de privacidad y habilitar nuevos mecanismos de control para que los ciudadanos europeos podamos ejercer nuestros derechos.

Esto era algo impensable antes del RGPD; estas empresas se escudaban en países con regulaciones más laxas y convenientes. Ahora, como si se van a Tombuctú, deberán acatar el RGPD siempre mientras traten datos de ciudadanos europeos.

El reglamento y la nueva Ley Orgánica de Protección de Datos del 2018 en España

Como te explicaba al principio, en noviembre se aprobó la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, es decir, la nueva LOPD. En LEXblogger hemos preparado un extenso post sobre cómo adaptar tu negocio a la nueva LOPD 2019.

Cómo principal característica de esta nueva LOPD y tal como anticipa su nombre, se otorga un gran protagonismo a los derechos digitales de los españoles.

Recuerda que nuestra anterior LOPD existía desde el 1999; el mundo ha sufrido una transformación digital colosal, se han multiplicado los sistemas de procesamiento de información y esto necesitaba urgentemente una regulación que recogiera esta transformación y que pudiera dar un marco legal funcional al mundo digital.

En la nueva LOPD se apuesta por una internet segura e inclusiva, con garantía de acceso universal.

Una de las curiosidades de esta nueva LOPD es el derecho a la a la desconexión de la vida laboral, ya veremos si cuaja o no.

Para los que trabajamos en entornos digitales, se reducen los requisitos informativos exigidos por el RGPD en una primera capa, de 5 puntos se reducen a 3, es decir, habría que informar en una primera capa (en un primer momento) del nombre del responsable del tratamiento, su finalidad y derechos del usuario.

La Agencia Española de Protección de Datos. Inscripción de ficheros

En muchos casos, se ha reducido la adaptación a la ley de protección de datos a la inscripción de ficheros, como si un trámite garantizara que hacemos un uso correcto y seguro de la información personal de otro; así, por ciencia infusa, ”yo ya inscribí los ficheros, lo tengo todo resuelto”.

He escuchado esa frase miles de veces; tristemente, la sigo escuchando.

Verás, inscribir ficheros en la Agencia Española de Protección de datos era uno de los requisitos de la antigua LOPD que quedó extinguido con el RGPD, justamente porque creaba la falsa creencia de cumplimiento cuando se trataba de una mera formalidad.

Ahora ya no es posible declarar ningún fichero. De hecho, desaparece la palabra “ficheros”, ahora se habla de “tratamientos” y en lugar de los ficheros, deberás llevar a cabo un “registro de actividades de tratamientos (RAT)” en donde se describan los tratamientos que realizas y las medidas de seguridad que aplicas en cada caso. Luego veremos en qué consiste el RAT.

¿A quién obliga la ley de protección de datos?

Puedes pensar que, si eres un blogger o propietario de una pequeña web, no te afectan los temas relacionados con la protección de datos. Pero esto no es así.

La filosofía general del Reglamento es que, por defecto, cualquiera persona u organización que realice un tratamiento total o parcialmente automatizado de datos personales entra dentro del ámbito de aplicación de esta ley.

Lo que hace el Reglamento es establecer excepciones a esta obligación de cumplimiento, que puedes en el artículo 2 sobre el ámbito de aplicación material del Reglamento, donde la excepción más importante son las “actividades exclusivamente personales o domésticas”.

Es decir, la agenda de contactos personales de tu teléfono se puede considerar no sujeta al RGPD, pero una simple sección de comentarios de un blog (que recoge nombre y email del comentarista) sí lo estaría (salvo que el blog se pudiese considerar de uso exclusivamente personal, cosa que parece difícil si se trata de un blog público).

Vistos estos principios generales, hilemos un poco más fino con la aplicación al ámbito profesional.

¿Qué empresas que están obligadas por la Ley de Protección de datos?

Deben cumplir con la Ley de protección de datos todas las entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades.

Es decir, si en tu trabajo diario tratas datos personales de terceros, por ejemplo: datos de proveedores, datos de clientes, datos de contactos de tu web, datos de suscriptores, datos de empleados, alumnos, pacientes, datos de navegación de usuario que recabas mediante cookies analíticas, etc., debes cumplir con la Ley de protección de datos, sin excepciones.

Todas las empresas que traten datos personales de ciudadanos europeos, independientemente de su tamaño, están obligadas a cumplir con la Ley de protección de datos europea, el RGPD.

Da igual que seas autónomo o empresa, tengas o no empleados, pertenezcas al sector público o privado, si eres una ONGs o una entidad sin ánimo de lucro; debes cumplir las exigencias de la ley de protección de datos y ofrecer las garantías suficientes a todos los que te facilitan sus datos.

Como decía anteriormente, si tu negocio está radicado fuera de la Unión Europea, deberás cumplir también siempre que trates datos de ciudadanos europeos.

La Ley de Protección de datos del 2018 para PYMES y autónomos

En protección de datos, el tamaño no importa. Los pequeños profesionales autónomos y por supuesto, las PYMES, también están sujetos a la Ley.

Está claro que, a menores tratamientos de datos, menores exigencias; las medidas de seguridad dependerán esencialmente del nivel de riesgo que entrañan esos tratamientos. No es lo mismo tratar datos de salud o de antecedentes penales, que un simple dato de contacto.

Es decir, no importa tanto el tamaño como el tipo de tratamientos que se lleven a cabo. Una gran empresa, con miles de empleados, puede tener requisitos de medidas de seguridad muy simples si trata, por ejemplo, solo datos personales de sus propios empleados y datos básicos de sus clientes.

Sin embargo, imagina ahora a un autónomo sin empleados que se dedica al big data y que maneja datos personales de millones de personas para realizar perfiles de comportamiento por cuenta de las empresas que le solicitan sus servicios.

Este autónomo deberá realizar una implantación verdaderamente exhaustiva de un sistema de protección de datos muy eficiente que garantice un tratamiento seguro y legítimo de toda esa información.

Lo mismo le ocurrirá a una persona que tenga una agencia matrimonial y que requiere datos completos de los candidatos para crear un perfil: va a pedir información académica, personal, sentimental económica, sexual, religiosa.

Esa información se considera muy sensible. la puede liar “muy gorda” si no tiene implantado un sistema de trabajo con un respeto riguroso a las normas de protección de datos.

El RGPD tienen un principio básico que es el de “responsabilidad activa”. Es decir, busca una actitud muy proactiva en lo referente a la protección de datos y que antes de llevar a cabo ningún tratamiento, analices a conciencia el riesgo que puede entrañar ese tratamiento desde el punto de vista de la privacidad de esa persona.

En base a los resultados debes realizar los ajustes necesarios y aplicar las medidas de seguridad necesarias para mitigar ese riesgo.

En cualquier caso, nos centramos en los inconvenientes y pocas veces analizamos las ventajas de una adecuación legal al RGPD; personalmente, yo me centro en estas tres:

Qué necesitas hacer para cumplir con la nueva LOPD

Hay una serie de trabajos y documentación mínima que tiene que realizar cualquier PYME o autónomo que trate datos personales, para adecuarse al RGPD y a la nueva LOPD.

Veamos cuáles son:

Crear tu registro de actividades del tratamiento (RAT)

Aunque el término suena rimbombante, éste es un simple documento interno que defina todos los tratamientos que realizas y las medidas de seguridad que aplicas.

Es un documento obligatorio y puede ser requerido por la autoridad de control (la agencia de protección de datos) en cualquier momento. Deberá estar actualizado en todo momento.

Más abajo te remito a modelos de plantillas que puedes usar para crear el tuyo.

Establecer protocolos de ejercicios de derecho, modelos de ejercicio y modelos de respuesta

Esto es algo básico para responder a los derechos que tienen los ciudadanos sobre su información personal, derechos a acceder, rectificar, limitar, oponerse o suprimir la información que le pertenece.

¿Podrías atender eficazmente a estos derechos si alguien te lo requiriera ahora mismo?

Es algo vital que sepas hacerlo, hay un plazo legal para dar respuesta y la negativa a responder es una infracción grave.

Establecer protocolos de declaración de brechas

El RGPD exige que siempre que tengas conocimiento de una brecha de seguridad que exponga información personal de otros tratada bajo tu responsabilidad.

Debes poner en conocimiento de esa brecha a la agencia de protección de datos y a los propios afectados; es decir, debes comunicar a esas personas que sus datos han sufrido un ataque para que tomen las medidas necesarias (cambiar contraseñas, etc.).

Para hacer todo esto bien, debes contar con modelos para notificar oficialmente a ambos, autoridad y afectados.

Contratos de confidencialidad y obligaciones RGPD para trabajadores y colaboradores

Una cuestión básica es informar a todas las personas que tienen acceso a información de terceros sobre sus obligaciones y responsabilidad respecto al tratamiento de datos que realizan.

Se trata de crear una cultura de protección de datos en tu organización, porque de poco servirán las mejores medidas de seguridad si tus empleados no las conocen.

Están a la orden del día infracciones graves como utilizar datos personales de una base de datos con fines distintos a los informados u organizar una campaña de captación sin saber cuáles son requisitos legales para ello (es decir, informando y requiriendo el consentimiento previo).

Te sorprendería saber la cantidad de sanciones que ha impuesto la agencia de protección de datos por negligencias de empleados que no habían sido informados al respecto.

Aquí profundizo un poco más en este tema:

Contratos de encargo de tratamiento con terceros

Otro aspecto clave en el cumplimiento es que regules las relaciones con los encargados de tratamientos, es decir, personas o autónomos con los que compartes información personal del que eres responsable; por ejemplo, tu gestoría, tu webmaster, la empresa de mensajería, etc.

El RGPD exige que elijas solo a aquellos que ofrezcan las máximas garantías de tratamiento y, para ello, deben firmar un contrato que exprese los límites en el tratamiento y los deberes y obligaciones que tienen respecto a esos datos.

También tendrás que pedirles que acrediten cumplimiento; puedes mandarles un formulario para evaluarlos o pedirles pruebas específicas, como el RAT, capturas, etc.

A diferencia de la antigua LOPD, el RGPD exige mayor diligencia en la contratación de colaboradores y la exigencia de garantías; antes valía solo con el contrato.

Cláusulas específicas de información de uso obligatorio a incluir en todos los formularios

Debes incluir estas cláusulas en los lugares de captura de datos personales, en función de la finalidad de la información recogida.

La transparencia informativa es una pieza clave en el RGPD; se exigen nuevos mecanismos de información previa al tratamiento, esto te obligará a revisar todos tus sistemas de captura, tanto online como offline y asegurarte que informas correctamente, es decir, en una primera y segunda “capa” (diferentes momentos en la recogida).

También deberás garantizar que el consentimiento está presente en los casos en los que es preciso, por ejemplo, en los tratamientos de datos de personas en donde no exista otra base legal que legitime el tratamiento, como pueden ser los suscriptores o leads que recabes en tus campañas.

Adaptar tu página web a todas las exigencias del RGPD y la nueva LOPD

Tu web debería disponer de algunos textos básicos:

• Política de privacidad.
• Aviso legal.
• Política de cookies.
• Primeras capas informativas en cada formulario.

Debes saber que estar adecuado a la ley de protección de datos no es hacer un trámite ni tener unos textos de “quita y pon”; requiere adquirir una cultura de protección de datos en donde la protección de datos esté presente en todas las decisiones estratégicas de tu negocio.

Como la adaptación de una página web al RGPD y nueva LOPD es todo un tema en sí mismo, he redactado también un posts específico para ello:

Te recomiendo encarecidamente su lectura.

Principios y conceptos básicos de la Ley de Protección de datos y RGPD

Toda persona tiene derecho a protección de los datos personales que le conciernen; a partir de ahí, lo que debes saber es que no deberías tratar datos de terceros si no conoces esos derechos.

También se basa en algunos principios básicos, digamos que son las normas de circulación en el mundo de la protección de datos; estos principios son:

• Los datos personales deben ser tratados de forma lícita, leal y transparente: básicamente se trata de tratar datos con máxima honestidad, informando con absoluta transparencia sobre todo lo que afecta al tratamiento, incluyendo el responsable, la finalidad, y los derechos que le asisten.
• Los datos personales deben ser recogidos con fines determinados explícitos y legítimos: tratando los datos exclusivamente para las finalidades para las que fueron recogidos e informando y con una base legal que legitime el tratamiento, como el consentimiento explícito o la relación contractual.
• Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento: se trata de no requerir más información que la estrictamente necesaria para la finalidad; es de sentido común, tendemos acumular sin ser conscientes de que, a más información, mayor riesgo. Debemos ajustarnos a los principios de minimización, menos es más en protección de datos, no solicites más datos que los necesarios.
• Los datos personales deben ser exactos y estar siempre actualizados: los datos personales envejecen y se transforman constantemente; debes asegurarte de que tus bases de datos se mantienen actualizadas y que responden a la realidad.
• Los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. ¿Sufres el síndrome de Diógenes? ¿Tiendes a acumular? Será importante que analices el ciclo de vida de cada registro y establezcas un sistema que te permita eliminarlo cuando no haya una finalidad que justifique su almacenamiento. Por ejemplo: un potencial cliente que te requiere un presupuesto hace 5 años ¿deberías mantener ese registro?; un CV de hace 3 años ¿tienen sentido almacenarlo cuando ya no está actualizada esa información y no vas a llamar nunca a ese candidato?
• Los datos personales deben ser tratados de tal manera que se garantice su seguridad: Para eso deberás realizar un análisis de riesgo que establezca las medidas de seguridad adecuadas al riesgo, aplicarlas y supervisarlas periódicamente, aplicando técnicas de cifrado de datos, controles de acceso, copias de respaldo, antivirus, etc. Todo lo necesario para garantizar la integridad, la disponibilidad y la confidencialidad de esos datos que afectan a personas.

¿Qué es un dato personal?

Se define como dato personal cualquier información relativa a una persona física identificada o identificable, eso incluye imagen, voz, información biométrica, una dirección IP, es decir, cualquier dato que nos permita identificar a alguien.

Son datos personales también:

Nombre y apellidos, domicilio, dirección de correo electrónico, DNI, datos de geolocalización, etc.

He escuchado muchas veces esto: “yo solo tengo un blog sin formularios para monetizar mediante anuncios, no recojo ningún dato personal”.

Pues sí que recoge información personal, porque las cookies publicitarias recaban datos del usuario y le “persiguen” para mostrarles anuncios vinculados a sus búsquedas; por tanto, hay un tratamiento de datos personales sujetos al RGPD y la nueva LOPD, aunque no haya ningún formulario.

¿Qué es (era) un fichero de datos personales?

Las leyes evolucionan y los conceptos también.

Hemos pasado de llevar un registro de los ficheros, que había que declarar en la Agencia de protección de datos, a que sea exigible llevar un registro de los tratamientos interno, el registro de actividades del tratamiento (RAT) del que hablaba antes.

La antigua LOPD contemplaba la expresión de ficheros y los definía como “un conjunto organizado de datos de carácter personal, independientemente de cuál sea la forma o modalidad de creación, almacenamiento, organización y acceso”.

Por ejemplo, “ficheros de recursos humanos”, “fichero de clientes”, etc. El RGPD y la nueva LOPD suprimen esta expresión y la reemplazan por la palabra “tratamiento”. Ya no se habla de “ficheros de datos personales”, sino de “tratamientos de datos personales”.

Por su parte, se denomina “tratamiento” a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Para que entiendas mejor la diferencia, a un solo fichero, por ejemplo, el fichero “clientes” se le pueden atribuir diferentes tratamientos, como:

• La prestación de un servicio o venta de un producto.
• Envío de publicidad de otros productos o servicios de la organización.
• Envío de información sobre eventos organizados por la empresa.

El documento de seguridad en el RGPD

En la antigua LOPD, se establecía la obligatoriedad de elaborar un Documento de Seguridad por parte de los responsables de los ficheros.

Este documento debía identificar los ficheros y especificar las medidas técnicas y organizativas en función los ficheros. Este documento debía de ser de obligado cumplimiento por parte del personal con acceso a los sistemas de información.

Las medidas de seguridad podían de tipo bajo, medio o alto.

Con la llegada del RGPD, desaparece el Documento de Seguridad, igual que desaparecen los ficheros.

En su lugar, se exige al responsable del tratamiento y en su caso, del encargado, un registro de actividades de tratamiento que describa esas actividades y las medidas de seguridad aplicadas.

En lugar de establecerse por niveles (alto-medio-bajo) el RGPD establece que esas medidas serán establecidas en función al riesgo detectado, para lo cual se exige un análisis de riesgo previo al tratamiento.

El registro de actividades de tratamiento o RAT, deberá incluir:

1. Nombre y datos de contacto del responsable y, en su caso, del corresponsable, representante del responsable y del delegado de protección de datos.
2. Finalidades del tratamiento.
3. Categoría de interesados y categoría de datos personales.
4. Categoría de destinatarios a quienes se comunicaron o comunicarán datos personales, así como terceros países u organizaciones internacionales.
5. Transferencias de datos personales a un tercer país o una organización internacional.
6. Plazos previstos para la supresión de los datos, cuando sea posible.
7. Descripción general de las medidas técnicas y organizativas de seguridad.

El RAT incluye básicamente, la declaración de ficheros y el documento de seguridad; es una fusión de ambos.

La figura del responsable del tratamiento de datos

El responsable del fichero es la persona física o jurídica que decide sobre el tratamiento de los datos; con qué finalidad se van a utilizar, con quién se van a compartir, durante cuánto tiempo se van a conservar, etc.

Por ejemplo, si tú tienes una web con un formulario de suscripción, eres responsable de ese tratamiento en tanto eres la persona que decide sobre la finalidad con que vas a tratar esos datos.

El responsable del tratamiento deberá determinar si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.

La figura del encargado del tratamiento de datos

Por su parte, el encargado del tratamiento es la persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento.

Normalmente, se trata de un tercero que realiza determinadas tareas por encargo del responsable, como una gestoría, un webmastser, una empresa de email marketing.

Es decir, siempre que, como responsable, tengas que compartir datos de clientes, empleados, suscriptores, etc. con otra empresa o un autónomo para que realicen un trabajo para ti que implique el tratamiento de estos datos, estamos hablando de una relación de encargo de tratamiento que implica la presencia de un contrato de encargo que defina las condiciones del tratamiento, finalidades, obligaciones, etc.

Recuerda que antes te explicaba que el RGPD refuerza las exigencias en esta materia y obliga a los responsables a acreditar mayor diligencia en la elección de los encargados y que solo elijas aquellos que acrediten garantías de cumplimiento.

Los datos especialmente protegidos en la LOPD y RGPD

Entendemos por datos sensibles, o especialmente protegidos, aquellos que tienen una especial incidencia en la intimidad, las libertades públicas y los derechos fundamentales de la persona.

Desde esa perspectiva y debido a su impacto en la privacidad de las personas, se requiere un nivel mayor de protección.

En la antigua LOPD, entre los datos especialmente protegidos encontrábamos: datos de ideología, religión, creencias, origen racial, salud, vida sexual, comisión o infracciones penales o administrativas.

Con el RGPD, se mantienen los datos que la antigua LOPD definía como especialmente protegidos y añade tres categorías más:

• datos genéticos,
• datos biométricos,
• orientación sexual.

Por otra parte, se exigen nuevas condiciones para su tratamiento, como la seudonimización o anonimización, el cifrado, la necesidad de un informe de impacto sobre la privacidad (EIPD).

También se exige recabar el consentimiento explícito y específico para una finalidad concreta.

Las transferencias internacionales de datos en el RGPD

Este concepto es muy relevante en protección de datos en un contexto de sociedad digital globalizada en donde, de forma habitual, utilizamos herramientas que almacenan datos personales que están ubicadas en países fuera de la Unión Europea. Es el caso de herramientas de email marketing, analíticas o incluso redes sociales.

Se entiende como transferencia internacional de datos, la transmisión de datos personales desde el Espacio Económico Europeo, es decir, los países de la UE más Liechtenstein, Islandia y Noruega a otros países fuera de la Unión europea.

Por ejemplo: si tienes un simple blog con un hosting situ en EEUU, los comentarios (que se almacenan en la base de datos de WordPress) serían una transferencia internacional de datos a EEUU, porque se envían y almacenan en un servidor en EEUU. Por la misma lógica, si tu hosting es español, no lo son.

La transferencia internacional de datos exige que solo se puede llevar a cabo si se cumplen una serie de condiciones establecidas en el RGPD, de tal forma que el nivel de protección de los derechos y libertades de las personas no se vea vulnerado.

De esta manera, el responsable y el encargado del tratamiento pueden transferir datos a un tercer país u organización internacional, si se han establecido las garantías adecuadas y los afectados cuentan con los derechos exigibles y acciones legales efectivas.

Entre estas garantías están:

• Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
• Normas corporativas vinculantes.
• Cláusulas tipo de protección de datos adoptadas por la Comisión.
• Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
• Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas la relativas a los derechos de los interesados.
• Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Recuerda que, si la transferencia internacional de datos es consecuencia de una prestación de servicios, debes suscribir un contrato de prestación de servicios por tercero conforme a lo dispuesto en el art. 28 del RGPD.

Toda esta complejidad en la práctica queda muy reducida, porque las empresas internacionales “serias” como SiteGround (hosting), MailChimp (email marketing), etc. disponen de contratos con cláusulas tipo adoptadas por la comisión, que puedes descargarte.

También es importante que adviertas de estas transferencias en tus cláusulas informativas y que requieras un consentimiento específico con esta transferencia.

Recuerda que, siempre que vayas a compartir datos con una empresa fuera del territorio español, deberás:

• Averiguar primero si se trata de un país con nivel adecuado de Protección de Datos. De momento, estos son los países que cuentan con ese nivel: Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda.
• Privacy Shield: Si se trata de empresas radicadas en los Estados Unidos, que se trate entidades certificadas en el marco del Escudo de privacidad UE-EEUU (Privacy Shield). Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016.

De nuevo, las empresas conocidas suelen haber hecho sus deberes y ya están preparadas en sus contratos contigo para todo esto. Para ti, será poco menos que automático al firmar el contrato de servicio (o actualizarse el existente).

No obstante, conviene asegurarte de que realmente es así y que aporten algunas de las garantías indicadas en el apartado anterior.

Novedades y adaptación al reglamento europeo y la Ley de protección de datos del 2018

Como vengo repitiendo a lo largo de este post, casi coincidiendo con las uvas, se aprobó finalmente la nueva LOPD, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, (LOPDGDD) como ley de carácter nacional (España) y que integra todas las disposiciones del RGPD.

El tener una norma común en todos los estados miembros solo puede traducirse en ventajas, ya que no solo armoniza todas las regulaciones europeas, sino que acaba con el escaqueo legal al que nos tenían acostumbrados empresas como Google o Facebook.

Estas empresas se amparaban en regulaciones más laxas para hacer su agosto gracias a nuestros datos personales. Lo seguirán haciendo, claro, pero ahora tendrán que asumir muchas más obligaciones y enfrentarse a sanciones desorbitadas de las que antes se libraban tan fácilmente.

La nueva LOPD es una norma necesaria para la adaptación del ordenamiento español a la regulación europea y, proporcional a este objetivo, para aportar seguridad jurídica.

Me parece muy oportuna la infografía realizada por Correos para resumir las principales novedades:

El RGPD nos ha proporcionado una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada y digitalizada.

Personalmente creo que, en esa universalidad y esa actualización de la regulación a los nuevos paradigmas digitales en el tratamiento de la información, residen las principales novedades del RGPD y la nueva Ley de protección de datos en España.

Se requerían nuevas leyes para nuevos tiempos en donde ya hablamos de big data, machine learning, BYOD, el Internet de las Cosas, inteligencia artificial y muchas otras nuevas tecnologías que generan constantemente nuevos procesamientos de información que repercuten directamente en nuestras vidas.

Es innegable que, a medida que se multiplican los sistemas de tratamientos, se multiplican exponencialmente los riesgos ya que estos datos son cada día más accesibles, por más actores, y cada vez es más difícil el control de su destino y uso.

De ahí la necesidad de una nueva regulación que dé cuenta de estos avances tecnológicos y refuerce la seguridad jurídica y la transparencia.

Desde la perspectiva de un profesional digital, las cuestiones más visibles que debes afrontar para no delatarte como infractor son dos:

El derecho a la información:

Hasta ahora, las políticas de privacidad de las empresas eran opacas, farragosas, incomprensibles para la mayoría de los mortales; el RGPD exige un cambio radical en ese sentido.

La nueva LOPD o LOPDGDD consolida el deber de implementar estrategias de información y transparencia por capas, garantizando un mínimo indispensable de información visible.

Por otra parte, se modula el ejercicio de los derechos, debiendo garantizar accesibilidad y gratuidad de estos y favoreciendo el acceso digital a los datos mediante fórmulas de ”acceso remoto, directo y seguro a los datos personales”.

El ejemplo del formulario de suscripción de esta casa ilustra perfectamente cómo debe requerirse información, cómo se debe informar por capas y los elementos a integrar en cada formulario:

• Verás que incluye una casilla de selección (check box), no marcado por defecto, para recoger el consentimiento conforme a las exigencias del RGPD.
• También incluye una primera capa informativa visible y accesible justo debajo de los campos.
• Enlaza con la segunda capa informativa: la política de privacidad.

Entre otras cosas, el RGPD y la nueva LOPD exigen que las políticas informativas que expresan la voluntad de las empresas sobre la información de los ciudadanos cumplan algunos requisitos:

• Que sean accesibles.
• Que sean comprensibles para sus destinatarios.
• Que estén sujetas al consentimiento libre, inequívoco, específico e informado por parte de los afectados.

Como responsable, deberás asegurarte de que todos tus mecanismos informativos cumplen con estas condiciones.

El consentimiento reforzado

Se incorpora la necesidad de un consentimiento real, verificable y granular; es decir, que sea específico.

No puedes requerir un consentimiento genérico para diferentes finalidades. No debe deducirse del silencio, ni valen las casillas marcadas de antemano.

Todos tus formularios deben incluir un sistema que recabe el consentimiento de acuerdo con estos requisitos y que permita acreditarlo; concretamente, un formulario que no incluya una casilla que genere a su vez un registro, es un formulario granada, puede estallar en cualquier momento.

El RGPD nos obliga a reformular todas nuestras estrategias, en especial, las de marketing.

La nueva figura del delegado de protección de datos

Esta figura ya estaba presente en otros países, el RGPD la impone en determinados supuestos como:

• Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
• Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
• Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

Lo más relevante que debes saber es que el delegado de protección de datos es la persona que actúa como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos.

Tiene que tener determinadas cualidades y acreditar conocimientos. De hecho, ya hay un registro oficial de delegados de protección de datos certificados de diferentes entidades.

Entre sus muchas funciones, el delegado de protección de datos podrá inspeccionar los procedimientos relacionados con el cumplimiento del RGPD y emitir recomendaciones en el ámbito de sus competencias.

Tampoco podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo que incurriera en una negligencia grave en su ejercicio.

Por supuesto, el RGPD y la nueva LOPD establecen que se debe garantizar su independencia dentro de la organización, debiendo evitarse cualquier conflicto de intereses.

El cambio de los tres niveles de seguridad a…

Los niveles de seguridad previstos en la antigua LOPD no seguirán siendo válidos con el RGPD.

Como te explicaba antes, cambia el enfoque de la seguridad, se abandona la estandarización el niveles bajo, medio, alto y se pasa a un modelo basado en el enfoque de riesgo.

Podrás seguir aplicando las mismas medidas que establecía la antigua LOPD, si el resultado del análisis de riesgos previo indica que las medidas que estabas aplicando son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado.

Lo que es evidente es que tendrás que realizar ese análisis de riesgo y establecer las medidas técnicas y organizativas en función de:

1. El coste de la técnica.
2. Los costes de aplicación.
3. La naturaleza, el alcance, el contexto y los fines del tratamiento.
4. Los riesgos para los derechos y libertades.

Para resumir y clarificar:

En la antigua LOPD, estaban definidas y tipificadas con detalle las medidas de seguridad que debían aplicarse según el tipo ficheros.

Con el RGPD los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, en función de los riesgos detectados en el análisis previo.

Además, el RGPD exige que se tome en consideración el principio de responsabilidad proactiva.

Los derechos ARCO en la nueva Ley de Protección de Datos

El RGPD nos trae nuevos derechos a los otorgados por la anterior LOPD y conocidos como derechos ARCO: acceso, rectificación, cancelación, oposición.

A esos derechos se les añaden otros tres:

• Derecho a la limitación del tratamiento.
• Derecho a la portabilidad.
• Derecho al olvido.

Cabe destacar especialmente que el derecho a cancelación o supresión se amplía al mundo digital con el derecho al olvido.

El objetivo de estos nuevos derechos es el de ofrecer un mayor control a los ciudadanos sobre su propia información personal.

Como empresa o profesional, debes permitir ejercer estos derechos de forma gratuita. También estás obligado a informar en tus textos legales sobre los medios que has habilitado para ejercitar estos derechos. Estos medios deben ser accesibles.

Recuerda que las solicitudes deben responderse en el plazo de un mes aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.

Si la solicitud se presenta por medios electrónicos, la información deberás facilitarla también por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.

Si, como responsable, decides no dar curso a la solicitud, deberás informar al solicitante a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control, en el caso de España, a la Agencia Española de Protección de datos.

Las personas deben poder ejercer los derechos directamente o por medio de su representante legal o voluntario.

Esta infografía de la agencia española de protección de datos ilustra muy bien estos nuevos derechos desde la perspectiva del ciudadano.

El derecho al olvido en la protección de datos y RGPD

Es el de derecho que tiene cualquier persona a que se suprima todo enlace que contenga información personal en internet, o las copias o réplicas de tales datos.

Por supuesto, no es tan sencillo como que un buscador elimine o desindexe un artículo o contenido que te afecte, porque solo se puede hacer efectivo si no se trata de información de interés público.

¿Cuándo se puede ejercer el derecho al olvido? Échale un vistazo al siguiente gráfico:

Las sanciones de la Ley de Protección de datos de carácter personal

Desde la aplicación del RGPD, las denuncias a la Agencia Española de protección de datos han crecido un 33%; en Gran Bretaña, el 160%, algo que da cuenta de la sensibilidad en cada caso respecto al valor de la información personal.

Lo que es evidente es que el ciudadano es cada vez más consciente de sus derechos y cada vez será más exigente con las empresas y profesionales que los gestionan.

En la nueva LOPD se vuelve a la clasificación de la antigua LOPD entre infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento General de Protección de Datos establece al fijar la cuantía de las sanciones.

Por supuesto, debes saber que las sanciones han aumentado notablemente: con la antigua LOPD, el importe máximo estaba en los 600.000€; ahora ese tope está en los 20 millones de euros o el 4% de la facturación bruta anual, lo que sea mayor, así que es mejor no tentar a la suerte.

Por otra parte, debes saber que se establece un nuevo sistema de indemnizaciones.

Es decir, aparte del tema sancionador, cualquier afectado puede requerir, además de la sanción, una indemnización si se demuestra que sus derechos se han visto vulnerados.

Así que cuidado con no dar pistas, recuerda que delatarte como infractor por no tener políticas adecuadas ni formularios ajustados a la ley, puede incitar al oportunismo de empresas competidoras u otros que actúen con mala fe contra ti.

Modelos de documentos útiles para la Ley de Protección de datos del 2018

Cómo habrás visto a lo largo y ancho de este post, son muchos los documentos y materiales que necesitas para realizar un cumplimiento efectivo y riguroso del RGPD y de la nueva ley de protección de datos del 2018.

Aquí puedes descargarte algunos de los modelos más importantes que te serán muy útiles para ir adecuando tu web y/o tu empresa:

Has de saber que, para hacerlo realmente bien, necesitas que los textos legales respondan a la realidad de tu negocio y tu web; es decir, deben ser fiel reflejo de la singularidad de tu actividad, offline y online.

Para ayudarte, te daré algunas pautas de cosas que debes tener en cuenta para crear tus modelos, aunque te recomiendo que siempre cuentes con un profesional de confianza para supervisar que todos cumplen de forma exitosa con lo exigido.

Lo primero que tienes que saber es qué tipo de sistemas de captura de datos estás utilizando. Si utilizas los kits de plantillas legales RGPD puedes seleccionar aquellos que utilices, definir la finalidad para cada uno, los destinatarios, el tipo de información que recoges y generar claúsulas específicas a incluir en cada uno de ellos.

Por ejemplo, para el formulario de contacto, podrás obtener la primera capa:

En la siguiente imagen puedes ver claramente cómo hay que realizar la información:

Modelo plantilla de consentimiento de protección de datos para clientes y usuarios

Para crear un texto de consentimiento del usuario tienes dos formas de hacerlo: informando en modo párrafo o tipo lista.

1. Modelo de consentimiento tipo párrafo

Este modelo es un simple texto.

2. Tipo lista (igual que lo anterior, pero en formato lista)

Este modelo, más compacto, se presenta como una pequeña lista de puntos.

Modelo plantilla de cláusula para contratos de encargados del tratamiento

La agencia española de protección de datos ofrece modelos de cláusulas adecuadas para realización de estos contratos. Los puedes descargar al final de esta guía con directrices para la elaboración de contratos de encargo.

Modelo plantilla de registro de actividades de tratamiento

El registro de actividades de tratamiento debe describir cada uno de los tratamientos que se lleven a cabo e incluir las medidas de seguridad que se van a aplicar en cada caso.

Un profesional autónomo lleva a cabo algunos tratamientos tipos:

• Tratamientos de clientes para facturación.
• Tratamientos de potenciales clientes para prospección y seguimiento de ofertas.
• Tratamientos de usuarios/suscriptores para envío de comunicaciones comerciales y boletines.

En cada tratamiento, se debe definir lo siguiente:

1. Nombre y datos de contacto del responsable del Tratamiento.
2. Finalidad del tratamiento.
3. Descripción de las categorías de las categorías de datos personales.
4. Categorías de datos personales.
5. Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales.
6. Los plazos previstos para la supresión de las diferentes categorías de datos.
7. Origen y procedencia de los datos.
8. Medio de obtención / mecanismo de recogida de los datos personales.
9. Sistema de tratamiento.
10. Aplicación o sistema informático concreto de tratamiento.
11. Sistema no informatizado concreto de tratamiento: Nombre y cargo del Responsable Funcional.
12. Áreas, Departamentos y/o Personas que traten o accedan a datos personales.
13. Procedimiento de ejercicio de derechos de protección de datos.
14. Datos de contacto de la persona que gestiona el ejercicio de los derechos de protección de datos.
15. Nivel de riesgo provisional.

La Agencia Española de Protección de Datos ha desarrollado herramientas como el Facilita RGPD, para que puedas crear tu propio registro de actividades de tratamiento:

Texto de protección de datos para facturas

El texto que se muestra a continuación deberás incluirlo en todos aquellos formularios que utilices para recabar datos personales de tus clientes, tanto si se realiza en soporte papel, como si se hace en soporte electrónico.

Es decir, se aplica a documentos como facturas, albaranes, presupuestos, etc.

AVISO: Debes tener en cuenta que, si tu cliente marca la opción NO, en ningún caso podrás enviarle publicidad ni correos promocionales.

Texto de protección de datos para emails

Y, finalmente, aquí te dejo un texto que podrás incluir en todos aquellos formularios que utilices para recabar datos personales de tus clientes, tanto si se realiza en soporte papel:

Conclusiones y consejos finales

Llegar hasta aquí no debe de haber resultado sencillo, como no lo ha sido escribir un post de semejante tamaño, pero ahora mismo, tienes en tu poder todo el conocimiento necesario para realizar la reconversión digital y crear un entorno respirable de confianza.

Recuerda que no sobrevive el más fuerte, sino el que mejor se adapta. Asumir una cultura de protección de datos debería ser una prioridad en tu estrategia de continuidad de negocio.

Tú puedes hacerte el sueco y rezar para que ningún cliente, empleado o suscriptor te denuncie y comprometa seriamente tu bolsillo y tu reputación, o ponerte las pilas y asumir que puede generarte enormes ventajas asumir una gestión responsable y segura de la protección de datos.

Estamos estrenando un nuevo año y debemos asumir nuevos retos: ganarnos la confianza y el consentimiento de los usuarios a cambio de aportarles valor. Ese es el eje principio fundamental del marketing moderno y, en particular, del marketing digital.

Para ayudarte, a continuación te puedes descargar gratis una lista de comprobación (una checklist) con los puntos clave que debes tener en orden para estar tranquilo con el RGPD.

Si no quieres hacerlo tú mismo, siempre puedes contratar el servicio de consultoría avanzada. Es una buena opción si:

• No tienes tiempo para realizar tu autoadecuación.
• Tienes una web que requiere una adecuación profesional a medida.
• No te sientes seguro: prefieres delegarlo en manos de un experto.
• Quieres una adecuación muy personalizada y un servicio de soporte que dé garantías.