LOPD vs RGPD. ¿Qué ha cambiado?

Hoy comenzamos con una serie de artículos dedicados al nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea que tomará plena vigencia el próximo 25 de Mayo de 2018. En ellos intentaremos explicar cómo afecta a las organizaciones y que medidas podemos adoptar para su cumplimiento. En este primer artículo y a modo de introducción explicaremos cuales son las principales novedades y diferencias con la legislación actual.

A día de hoy prácticamente todas las organizaciones, en mayor o menor grado han implantado medidas de cumplimiento de la actual Ley Orgánica de Protección de Datos o LOPD, pero a menudo los responsables se plantean preguntas tales como:

  • ¿En que nos afecta el nuevo reglamento?
  • ¿Es suficiente con las medidas que tenemos implantadas?
  • ¿Debemos hacer algo más?
  • ¿Cómo podemos prepararnos?

¡Comparte este artículo, elige tu plataforma!

En primer lugar, hay que destacar que el RGPD es una norma directamente aplicable que ya está en vigor y que no requiere de trasposición a la norma interna de cada país miembro de la UE, ni normas de desarrollo o aplicación. Esto implica ante todo que tanto responsables como encargados de los tratamientos deben asumir que la norma de referencia es el RGPD, y no las normas nacionales, a pesar de que la futura ley que venga a sustituir a la LOPD podrá incluir alguna precisión en las materias que el RGPD permite.

Son varias las nuevas obligaciones que contiene el nuevo reglamento, al mismo tiempo que se modifican algunos aspectos del reglamento actual, pero la principal novedad es el enfoque distinto que se incorpora y que obliga a las organizaciones a replantear su estrategia de cumplimiento. Hasta ahora, se establecían tres niveles de seguridad (bajo, medio y alto), en base al tipo de información de que se tratase. En función de esta clasificación debíamos aplicar como mínimo una serie de medidas de seguridad ya definidas en el propio reglamento.

Con el nuevo RGPD nos encontramos con un enfoque distinto basado en dos pilares:

  • El principio de responsabilidad proactiva
  • El riesgo asociado a los tratamientos

El principio de responsabilidad proactiva

Según la “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” elaborado por la Agencia Española de Protección de Datos, junto a la Agencia Catalana de Protección de Datos y la Agencia Vasca de protección de Datos, y que reproducimos íntegramente:

“El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo”.

Esto quiere decir que no es suficiente con el cumplimiento de unos artículos determinados, sino que se ha de estar en condiciones de poder acreditar ese cumplimiento ante el requerimiento de las autoridades competentes.

Este principio de responsabilidad proactiva no afecta tan solo al tratamiento de datos de carácter personal que las organizaciones realicen en su papel de responsable, afecta también al tratamiento de datos de carácter personal que las organizaciones puedan realizar en calidad de encargados del tratamiento. Es obligación del responsable ser diligente y proactivo en la elección de encargados que ofrezcan garantías suficientes en cuanto al cumplimiento del reglamento, por lo que puede exigir al encargado que acredite el cumplimiento de las medidas de seguridad necesarias en el tratamiento de datos objeto del encargo.

El riesgo asociado a los tratamientos

A continuación, reproducimos íntegramente el contenido de la “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” indicada en el punto anterior:

“El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones. Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.”

Es decir, cada organización deberá determinar cuál es el nivel de riesgo asociado a los tratamientos que realiza en base a la sensibilidad de los mismos o su volumen, en el caso de grandes organizaciones u organizaciones que traten datos sensibles o grandes volúmenes de información puede ser necesario la elaboración de análisis de riesgos basado en alguna de las metodologías disponibles en la actualidad tales como Magerit, ISO 27001, etc., mientras que en el caso de pequeñas organizaciones que realicen tratamiento de datos no sensibles puede bastar con un pequeño análisis meditado y mínimamente documentado.

Descubra como afecta el nuevo reglamento a su organización y que medidas puede tomar para evitar sanciones accediendo a nuestra zona de descargas. Puede encontrar mas información la Agencia Española de Protección de Datos (www.agpd.es) o solicitando información en nuestra zona de contacto

Si necesita ayuda para aumentar la seguridad de su organización, solicite información en nuestra zona de contacto

¿PROBLEMAS CON EL CUMPLIMIENTO?