Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

Sobre la nueva Ley Europea de Protección de Datos

Seguridad de datos y tecnología

Manuel Alberto Asuar Gallego*

Desde la última directiva de 1995 en materia de protección de datos en la que no existían dispositivos como los “Smartphone” las “Redes Sociales” y las “App”, e Internet no formaba parte esencial de nuestras vidas, el escenario digital ha cambiado radicalmente.

Tanto para hacer la vida más entretenida e introducirnos en la sociedad de la información como para hacernos participes del mercadeo ilegal y la revelación de datos personales.

Por todo ello y después de un duro trabajo realizado por expertos durante cuatro años, la nueva normativa fue aprobada por el Parlamento Europeo en abril de este 2016.

El objetivo es tener un estándar que se adapte a la realidad digital protegiendo al ciudadano sobre el control de sus datos personales y del uso que se hacen de los mismos. En esta ocasión se adapta también al uso de estos datos para temas legales: judiciales y policiales.

Por lo que podríamos dividirla en dos bloques, el Reglamento y la Directiva. Esta última hace referencia sobre la protección de datos de carácter personal tratados a efectos legales. Los atentados de París aceleraron el proceso de  esta reforma, pero hoy nos enfocaremos más al ámbito empresarial y de usuario.

El Reglamento General de Protección de Datos (RGPD) y los derechos del ciudadano. 

Parece que al fin el ciudadano sí empieza a tener realmente una serie de derechos que antes no tenía, entre otras, algunas de las directivas que marcan son las siguientes: 

-El derecho al “olvido”, mediante la rectificación o supresión de datos personales… 

-La necesidad de “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales… 

-La “portabilidad”, o el derecho a trasladar los datos a otro proveedor de servicios… 

-El derecho a ser informado si los datos personales han sido pirateados… 

-Lenguaje claro y comprensible sobre las cláusulas de privacidad… 

Estas medidas aunque no parezcan muy significativas representan una revolución en el mundo digital y su adaptación será muy notoria si se ejecuta bien. 

El RGPD en las empresas

Este tema a tratar es bastante más complicado ya que se cambia totalmente el concepto de la famosa LOPD en España, donde se trataba de no incumplir para no ser sancionados, pues ahora el concepto de obligatoriedad es muy diferente y las sanciones son muy elevadas. 

Por ejemplo, las violaciones graves tendrán multas de hasta 10 millones de euros o el 2% de la facturación mundial y  las muy graves hasta 20 millones o el 4% de la facturación total. 

           Veamos entonces en qué consiste: 

-El Consentimiento 

Ya no está permitido el consentimiento tácito, las empresas deben revisar y rehacer el conjunto de cláusulas. Hay que comunicarse de un modo nuevo, claro y simple con el usuario. El modelo ahora es más amable y queremos que el usuario se lea los términos y condiciones además el consentimiento ha de ser revocable en cualquier momento. 

-El Estudio de Riesgos 

Privacyimpactassesment (PIA) o estudio de riesgos es una tarea esencial que hay que tener prevista para todos los nuevos tratamientos en los que exista un alto riesgo para la protección de datos. Lo mejor que puede hacer una empresa es automatizar este proceso. Deben desarrollar un software eficiente que identifique cuando es necesario hacer un análisis. 

-La comunicación de fallos 

Esta es una nueva obligación impuesta por el RGPD. El responsable de tratamiento deberá notificar los fallos de seguridad a la Agencia Española de Protección de Datos (AGPD) en un plazo de 72 horas. Además debe contar con un sistema efectivo para realizar el reporte a la AGPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos. 

-El“DPO” ó“DPD”

El Data ProtectionOfficer “DPO” o Delegado de Protección de Datos “DPD”, es una figura clave en el reglamento. Tendrá que identificar los riesgos y buscar soluciones para solventarlos. Las empresas deberán contar con este delegado, interno o externo, otorgarle total independencia y aportarle las herramientas que necesite cuando las solicite.

Como se puede apreciar a simple lectura y a grosso modo, hay un largo camino por recorrer. La implantación de la Ley será aplicable a partir del 25 de mayo de 2018. Así, durante los dos próximos años, cada Estado y todas las empresas y Administraciones públicas podrán realizar las modificaciones y ajustes necesarios para garantizar su cumplimiento.

*Manuel Alberto Asuar Gallego es Programador Informático, Docente F.P.E. , Divulgador de las Nuevas Tecnologías, Investigador de Ciencia Robótica y sobre todo “Techie”

Etiquetas
stats