Las empresas españolas: Mejor preparadaras que el resto para el RGPD

Tal vez está mal que lo digamos nosotros, pero es cierto. La llegada del RGPD europeo no supondrá un gran esfuerzo para las empresas que estén bien adecuadas a la normativa española (LOPD). Y es que de algo tenía que valer tener una de las legislaciones  europeas más estrictas respecto a protección de datos personales.

LOPD - RGPD

Hasta la llegada del nuevo reglamento europeo (RGPD), los diferentes paises de la Unión Europea regulaban de forma particular el tratamiento de la información de caracter personal por parte de las organizaciones, así como los derechos de sus titulares.

En el caso de España, la Ley Orgánica de Protección de Datos de Caracter Personal (LOPD) es, junto a la legislación italiana, la más dura de Europa tanto en criterios técnicos como legales. Venimos de una década de duro entrenamiento en la que hemos logrado una concienciación clara de las empresas e individuos con respecto a los derechos y deberes que organizaciones y personas tienen sobre este tipo de información sensible.

Ese entrenamiento nos va a permitir ahora superar el examen de la RGPD cuando entre en vigor el 25 de mayo con poco esfuerzo. La Agencia Española de Protección de Datos ha indicado que actuará bajo un criterio de flexibilidad pero con rigor. Vamos, como lo viene haciendo.

Voy a hacer un repaso por las medidas más exigentes de la LOPD española que llevamos cumpliendo desde hace más de diez años y que nos hacen estar muy bien preparados para la llegada del RGPD:

La obligación estricta en España de declarar los ficheros de datos personales en la Agencia Española de Protección de Datos, junto a su estructura detallada (llegando al detalle de campos de datos) nos ha hecho tomar conciencia de que tener un dato personal es una responsabilidad.

La inclusión de los archivos físicos (papel) con el mismo nivel de exigencia que los electrónicos ha metido en la partida a grandes empresas que venían de las torres de papel físico y que se han tenido que poner en forma digitalmente en los últimos años.

Los demoledores plazos y sanciones de los derechos ARCO (Acceso Rectificación, Cancelación y Oposición)  han hecho que hasta el más pintado levante las orejas en cuanto un cliente escribe un email mencionando “laeleopedé” (en muchas ocasiones muy a la ligera, también sea dicho).

El elevadísimo nivel de exigencia de las medidas técnicas para el tratamiento de los datos personales  de nivel alto (referidos a salud, religión o costumbres sexuales) se ha ganado el calificativo de “imposible de cumplir” entre muchos consultores y responsables de seguridad y ha hecho bueno el dicho de que “mejor no almacenar ese tipo de dato siempre que sea posible”.

El “consentimiento informado” ahora tan de moda, ha sido un compañero de trinchera en España desde hace más de diez años para todas las empresas que se han adecuado a la LOPD. En este tiempo hemos aprendido que las organizaciones debemos ser capaces de demostrar cuándo y cómo el titular nos otorgó permiso para almacenar sus datos y con qué finalidad, durante todo el tiempo que los conservemos.

No todo van a ser halagos. También vamos a tener que trabajar y hay que adecuarse, pero las diferencias no serán grandes si tu empresa ya está adecuada a la LOPD. Aquí van algunas de las diferencias más importantes del nuevo RGPD respecto a la LOPD:

Desaparece el consentimiento tácito a la hora de recoger la autorización de los titulares: Ya no podrán premarcarse casillas o enviar correos diciendo que “si en X días no respondes entenderemos que consientes” y eso es una buena noticia, ya que era un recurso utilizado en exceso por las consultoras para adecuar a clientes poco disciplinados o para regularizar situaciones del pasado.

Los derechos ARCO deberán poder ejercerse por vía electrónica si la recogida de los datos fue también por vía electrónica. Se acabó el escudarse en “envíame una carta por correo certificado a esta dirección”.  Ahora hay que ofrecer metodologías ágiles y modernas.

La elaboración de perfiles es ahora una finalidad en si misma. Este es el más importante para mí. Combinar datos de la misma persona procedentes de diferentes recogidas para elaborar un perfil complejo (como hacen entre otras organizaciones TODAS las redes sociales y buscadores de Internet) es ahora una finalidad propiamente dicha para la que habrá que  obtener consentimiento.

Ahora existe la obligación de redactar un análisis de riesgos sobre qué puede implicar la pérdida de información para las personas que te la han dejado (poniéndose en su lugar), y mas aún, de informar a los titulares en caso de que esa pérdida se produzca, con unos plazos concretos.

Ante un incumplimiento intencionado por parte de un empleado, la responsabilidad puede recaer directamente en el mismo (la persona) y no en la empresa, siempre que esta demuestre estar bien adecuada al RGPD y tener una normativa interna y unos procedimientos respecto al reglamento entendidos y comprendidos por todos sus trabajadores (formación, concienciación, etc.).

Se regula el derecho al olvido, obligando a cualquiera que publique información sobre personas a rectificarla o suprimirla si incluye datos inexactos obsoletos o sesgados sobre personas (excepto cuando un juez diga que deba prevalecer el derecho a la libertad de expresión).

¿Qué os parece? ¿Suena complicado? que al responsable de seguridad de las grandes empresas lo llamemos ahora DPO y que la figura del DPD sea todavía un concepto misterioso (que nadie te convenza de que sabe al 100% cómo encaja con la actual LOPD) no va a cambiar el espíritu de la norma que ya conocemos: respetar la privacidad de los datos personales.

R2 Docuo nació como una herramienta para alojar información de clientes de forma segura en la nube de acuerdo a las normas europeas (RGPD) y españolas (LOPD) de privacidad y protección de datos personales.

Estamos concienciados de que la información de las personas es suya y esperamos la llegada del RGPD con un enfoque de mejora, y lo que es más, exportamos esos derechos a muchos titulares externos a la Unión Europa que nos eligen para la custodia de sus datos y los de sus clientes, disfrutando de los mismos derechos que los ciudadanos europeos.

Si quieres aprender más sobre R2 Docuo, la LOPD y el nuevo reglamento europeo (RGPD) puedes echar un vistazo a este webinar.

¡Nos vemos en la nube!

Jorge Ramírez

Suscríbete para recibir noticias de R2 Docuo en tu email: