May 24, 2018
POR ÁLVARO ORTS FERRER

RGPD: Del cumplimiento formal al cumplimiento material

Home > RGPD: Del cumplimiento formal al cumplimiento material
Mucho se está hablando acerca de las “tremendas exigencias” que trae consigo el Reglamento Europeo de Protección de Datos Personales (RGPD, o GDPR en sus siglas en inglés). Sin embargo, poco se está haciendo por “normalizar” y por rebajar la alarma social que se está generando.

GDPR, por sus iniciales en el idioma anglosajón (General Data Protection Regulation), o RGPD por sus siglas en castellano (Reglamento General de Custodia de Datos) es la novedosa normativa que regula la custodia de los datos de los ciudadanos que vivan en la Unión Europea. El reglamento entró en vigor el 24 de mayo de 2016, pero va a ser de obligado cumplimiento desde el 25 de mayo de 2018.

A lo largo de estos dos años, la Ley Orgánica de Custodia de Datos (LOPD) siguió vigente, pero tiene fecha de caducidad. Esta ley establecia unos niveles de seguridad en función del tipo de datos que manejaba la empresa. Por ejemplo, aquellos que trataran datos de salud se encontraban en la obligación de implementar un tipo de medidas de seguridad de NIVEL ALTO realmente exigentes. Pero se estima que en unos meses se apruebe una exclusiva ley (está en este preciso momento en desarrollo de tramitación parlamentaria) que permita o se haga más fácil la aplicación del Reglamento. Esta novedosa ley no puede contradecir al RGPD, pero sí definirá mejor algunos de sus puntos (cuando un usuario se considera menor, por ejemplo).

Hablamos de la primera norma sobre esta materia cuyos derechos y oligaciones afectan a todos los países de la Unión Europea por igual. De hecho, a lo largo de años fue una reivindicación de muchas compañías y sectores, como el tecnológico, quienes tenían que adaptarse a 28 legislaciones diferentes sobre la utilización y régimen de datos personales para lograr prestar sus servicios en Europa.
 

¿Cuáles son las novedades del RGPD?

Es cierto que el RGPD comporta requisitos más exigentes para su cumplimiento, pero no es menos cierto que estos requisitos se elevan para aquellas empresas y entidades que lo requieren (por el tipo de datos que manejan, su volumen, seguimiento o monitorización, etc.), mientras que habrá empresas de estructura más sencilla para los cuales será ahora más fácil cumplir con la normativa que antes.

Esto podía suponer en la práctica que un doctor que disponía de su consulta privada en un despacho de su casa, que atendía a dos, tres o cinco pacientes al día a lo sumo y que no realizaba pruebas médicas, tenía que implementar el mismo tipo de medidas que un hospital o una clínica. Evidentemente, la estructura de unos y otros no es comparable, si bien, las medidas que debían aplicar, tal y como marcaba expresamente la normativa, estaban en el mismo apartado y debían implementarse igualmente.

Este punto cambia con la nueva normativa:

El RGPD nos dice que debemos garantizar los derechos de las personas que nos facilitan sus datos y la seguridad e integridad de los mismos, aunque no establece medidas de seguridad concretas o específicas para llevarlo a cabo.

¿Esto qué quiere decir? Que El RGPD nos va a permitir MODULAR el tipo de medidas a aplicar en función de las propias características de la empresa, de los datos a tratar, de los recursos técnicos disponibles para llevarlas a cabo, etc.

Ahora bien: Siempre deberemos establecer procesos o protocolos que nos permitan implementar esas medidas, pero también justificar y probar que se están llevando a cabo.

En la práctica, nos encontramos ante “un proceso de revisión continua de cumplimiento” de manera que, ante cualquier tipo de incidencia, inspección o denuncia, seamos capaces de demostrar que han estado implementando las medidas más adecuadas respecto a los datos que se vienen tratando, tanto a nivel organizativo como técnico como de ejercicio de derechos.

RGPD
Fuente: Unsplash


En lo que se refiere a exigencias específicas, lo que nos indica el RGPD acerca de la seguridad de los datos es lo siguiente:

Art. 32: “El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento de datos y que incluya, entre otros:”

·    Seudonimización y cifrado de datos personales.

·    Capacidad de garantizar la integridad de los datos, confidencialidad, disponibilidad y resiliencia de los sistemas empleados para tratar los datos.

·    Capacidad de restaurar la disponibilidad y el acceso a los datos en caso de incidente.

·    Un proceso de verificación, evaluación y valoración interno periódico que nos permita comprobar la eficiencia de las medidas implantadas.

Como vemos, nos hemos de comportar “como la mujer del César”, de manera que no sólo cumplamos con la normativa de forma efectiva, sino que además seamos capaces de demostrarlo.


A quién afecta el RGPD

En la práctica, nos podemos encontrar con empresas que ya disponen de medidas de seguridad sobre los procesos de tratamiento de datos personales. Estas medidas pueden ser válidas, coherentes y consecuentes con el RGPD, de manera que solamente cabría revisar su eficacia y dotarnos de un proceso de verificación, evaluación y valoración periódico que nos permita comprobar que se está cumpliendo la normativa.

Por ejemplo, muchas empresas ya disponen de sistemas de tratamiento de datos que desvinculan los datos del cliente, sustituyéndolos por un sistema de códigos de cliente, de manera que solamente se trabaja con el código que lo sustituye, y no con los datos personales de los que provienen, quedando estos cifrados.

Sin embargo, aquellas empresas que no dispongan previamente de mecanismos de seguridad tendrán que llevar a cabo una serie de tareas adicionales que les permitan llegar al mismo punto de cumplimiento.

Rafael García, responsable del area internacional de la Agencia Española de Protección de Datos (AEPD), afirma que el RGPD otorga más mecanismos y derechos a los individuos sobre la proteccion de sus datos. Según su valoración, hay tres pilares fundamentales: existiran nuevas utilidades para vigilar los datos (ya que la información debe ser más extensa, alcanzable, directa, comprensible y clara que lo que se hace ahora), habrá nuevos derechos y se otorgará más poder a las agencias de custodia de datos de cada país.




Álvaro Orts Ferrer

Abogado colegiado por el ilustre Colegio de Abogados de Valencia (ICAV) y Consultor legal RGPD/LOPD/LSSI, es el fundador de Orts Consultores, una firma de consultoría legal que ofrece asesoramiento personalizado en múltiples áreas, tanto a particulares como a empresas.

views
899
< Post anterior Todos los posts Siguiente post >
Te mereces
el mejor contenido

Suscríbete a nuestra newsletter y entérate de las últimas tendencias digitales

¡Ha llegado el momento de ponerse al día!
Te mereces
el mejor contenido

Suscríbete a nuestra newsletter y entérate de las últimas tendencias digitales

No, gracias. Mi bandeja de entrada está bien así.
Back to top