GDPR vs LOPD, ¿Cómo le afecta a mi empresa el cambio?

La inminente llegada de la GDPR ha abierto un buen campo de dudas y preguntas acerca de sus implicaciones y las obligaciones que impone a las empresas respecto a la protección de los datos. Sin embargo, sin conocer los antecedentes, la LOPD, no podremos entender correctamente los cambios que se avecinan. Empecemos:

Corría 1999 cuando en España entró en vigor la LOPD, que ha regido como la norma básica de la protección de datos de los usuarios hasta hoy día. Ésta tiene por objeto asegurar y resguardar, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos esenciales de las personas físicas. El embrión de esta ley se encuentra en la Constitución de 1978, concretamente en el artículo 18, sobre el derecho a la intimidad familiar y personal y el secreto de las comunicaciones.

Esta ley afecta a toda empresa o autónomo que almacene o recolecte datos de personas físicas, como podrían ser sus empleados, sus clientes, o el curriculum vitae de candidatos. Quedarían exentas de su aplicación aquellas empresas que solo almacenaran datos de otras empresas, pero hoy en día, esto es minoritario.

Así pues, todo usuario, cliente o persona que figure en uno de nuestros archivos tiene una serie de derechos conocidos como ARCO; a saber, Acceso a los Datos, Rectificación de los mismos, Cancelación de los registros y Oposición al uso de los mismos para determinados fines, por ejemplo, publicitarios. La LOPD garantiza asimismo que nuestros datos sean corregidos en un plazo breve de las bases de datos en que figuren, para evitar daños a las personas ahí listados, (por ejemplo borrarnos de una lista de morosos en la que por desidia no se nos eliminó en su momento)

Así que a fecha de agosto de 2017 esta es la normativa vigente en lo relativo a la protección de datos de carácter personal. Pero enseguida veremos que la historia no ha acabado…

 

Y entonces llegó la GDPR

 

Imagen Logo de la GDPR

 

Llegamos así a mayo de 2016 cuando la Unión Europea presentó la GDPR. Esta nueva norma viene a sustituir y/o complementar a las leyes nacionales de cada estado miembro referidas a la protección de datos en todos y cada uno de los países de la Unión. Con ella la enorme fragmentación normativa existente se elimina y nuestros datos tienen el mismo tratamiento en los todavía 28 estados que la forman.

Conocida como GDPR (General Data Protection Regulation por sus siglas en inglés), busca dar a los ciudadanos europeos un mayor control sobre su información privada, además de mejorar la seguridad de las empresas que operan tanto en la UE como en otras partes del mundo pero que almacenan información sobre ciudadanos europeos.

La GDPR plantea novedades en los derechos de las personas sobre de sus datos, como es el desarrollo de la noción del derecho al olvido, por el cual podemos solicitar la supresión o rectificación de datos personales en internet, o el derecho a la portabilidad de los mismos. Otra de las grandes novedades de la GDPR es la creación de la figura del DPO (Data Protection Officer), que tiene que ser incorporada en algunas empresas, en aquellas de mayor tamaño (+250 empleados) o en aquellas donde el tratamiento de los datos sea el eje de su estrategia empresarial (en cuyo caso toda empresa, independientemente de su tamaño estaría obligada).

Se estableció un período de adaptación de dos años, y la norma entrará en vigor en mayo de 2018, siendo las multas por incumplimiento hasta del 4% de la facturación anual de la empresa,un dato importante para el 78% de directivos que no saben o no entienden las implicaciones de la GDPR para su empresa.

 

Entonces ¿mi empresa debe cumplir la GDPR? 

Listado de objetivos de GDPR cumplidos. La respuesta es que si antes debías cumplir con la LOPD, ahora tendrás que adaptarte a la GDPR. La normativa europea supera a la LOPD por lo que el nuevo marco será la GRPD, pero en ningún caso se deroga la LOPD, por lo que a la espera de la adaptación legislativa de la misma se establece el cumplimiento de ambas; cumplimento que no presenta grandes problemas pues la normativa europea es una norma que amplia y legisla bebiendo de principios y fuentes similares a los de la norma española.

A las empresas la entrada en vigor de la GDPR les supondrá una cierta carga de obligaciones, pero sobre todo, un cambio en el enfoque del tratamiento de los datos. A grandes rasgos este cambio se plasma en que:

  • Las empresas deben custodiar la información de las personas físicas adecuadamente, es decir, deben mantener una organización y gestión lógica de los datos, protegiendo la información de pérdidas. Por lo que las copias de seguridad pasan a ser obligatorias.
  • Esta organización deberá facilitar la auditoría y evaluación de impacto sobre la protección.
  • Los datos han de estar debidamente protegidos de accesos, intrusiones o eliminación con las medidas de seguridad y cifrado pertinentes.
  • Si hubiera una fuga de información la organización afectada tendrá que dar aviso al organismo supervisor de la UE de la fuga antes de 72h.

Así, toda empresa debe plantearse, que a diferencia de la LOPD, que le exigía proteger los datos con ciertas medidas, la GDPR le reclama ahora una gestión y planificación de la seguridad que va mucho más allá de lo que se pedía hasta ahora.

 

¿Y cómo me afecta? 

Podemos empezar señalando que se hace imprescindible que las empresas hagan copias de seguridad de los datos en sus propias unidades de almacenamiento, pero también se exige que estas tengan otra copia de seguridad externa a la empresa (por ejemplo en los servidores de Metafrase), puesto que un ataque de malware podría acabar con nuestras copias internas.

Igualmente se convierte en obligatorio cifrar la información, puesto que llegado el caso de una pérdida de información el cifrado sería la única manera de evitar el uso fraudulento de los datos, con lo que un servicio de cifrado profesional se hace obligatorio.

La prevención de la fuga de información, su uso fraudulento o la pérdida son como vemos el pilar de la GDPR, que en líneas generales nos obliga a custodiar la información íntegra, evitando su destrucción o robo. No es necesario recordar que la reputación de nuestra empresa depende en gran medida de cómo manejemos los datos de nuestros clientes. Conviene no olvidarlo y ponernos en manos de profesionales de la GDPR como Metafrase. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.