En este año 2018 la mayoría de las pymes se verán obligadas a implementar nuevas prácticas referidas a la gestión y la privacidad de los datos, adaptando sus organizaciones para dar el debido cumplimiento al RGPD.

Principales novedades del RGPD respecto de la LOPD

• Ámbito de aplicación territorial

Hay una ampliación de dicho ámbito, ya que el Reglamento europeo se aplica al tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la UE, cuando las actividades de tratamiento estén relacionadas con (i) la oferta de bienes o servicios o (ii) el control de su comportamiento. 

• Derechos de los titulares de los datos

Se incorporan nuevos derechos como:

- el derecho al olvido mediante la rectificación o supresión de los datos personales;

- el derecho a la portabilidad de los datos de un proveedor de servicios a otro; - el derecho a la limitación de tratamiento; y

- el derecho a oponerse a actividades de segmentación de perfiles. 

• Datos personales sensibles

Se consideran datos sensibles aquellos relacionados con orientación sexual o la salud y se añaden los datos genéticos y biométricos. 

• Tratamiento de los datos

Se matiza que los datos serán tratados de forma transparente y serán limitados a lo necesario en relación con los fines para los que fueron creados (“minimización de los datos”).

El responsable del tratamiento deberá poder demostrar que las medidas técnicas y organizativas cumplen con lo dispuesto en el RGPD, debiendo ser estas medidas proporcionadas en relación con las actividades de tratamiento. Se refuerza la figura del encargado de tratamiento, en cuanto que se detallan las relaciones entre éste y el responsable del tratamiento, especificándose todas las estipulaciones que se deben incluir en el contrato o acto jurídico que regule su relación.

Será necesario llevar un Registro interno de las actividades de tratamiento, salvo que resulte aplicable alguna excepción (por ejemplo, que se trate de una empresa con menos de 250 empleados, por lo que en principio, este requisito no será aplicable a las pymes). 

• Consentimiento

Las condiciones para obtener dicho consentimiento se refuerzan, puesto que debe ser un acto afirmativo claro y de carácter inequívoco, libre y revocable. 

• Seguridad

En este ámbito, el RGPD impone, entre las nuevas obligaciones, las siguientes:

- Llevar a cabo una protección de datos desde el diseño (las medidas técnicas y organizativas tienen que aplicarse desde el diseño de los medios) y por defecto (sólo pueden ser objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento).

- Realizar evaluaciones previas del impacto de ciertas operaciones de tratamiento: las que por su naturaleza, alcance, contexto o fines, puedan entrañar un alto riesgo para los derechos y libertades de personas, y si es así, consultar a la Agencia Española de Protección de Datos (AEPD) antes de realizar el tratamiento.

- Notificar a la autoridad de control y, en su caso, al interesado, en un periodo máximo de 72 horas, los fallos o “brechas” de seguridad que afecten a datos de carácter personal. 

• Delegado de Protección de Datos

En múltiples supuestos de tratamientos de datos personales (como, por ejemplo, los realizados por entidades públicas o en empresas privadas) el RGPD establece la obligación de nombrar un Delegado de Protección de Datos, pudiendo recaer esta figura en un empleado de la propia plantilla de la empresa o en un externo contratado exclusivamente para realizar esta función. 

Responsabilidad proactiva El RGPD deja en manos de la empresa la elección de las medidas que empleará para que el uso de los datos se ajuste a la normativa europea y reducir los riesgos de posibles incumplimientos, pero será necesario probar que se ha mantenido esa diligencia. 

• Sanciones

Hay un aumento considerable del importe de las sanciones, puesto que el importe puede alcanzar hasta 20 millones de euros, o hasta el 4% del volumen de negocio total anual, según se infrinjan determinados preceptos del Reglamento, frente a la regulación de la LOPD que oscilaban entre 900 y 600.000 euros.

Tras dos años de espera, a partir del próximo 25 de mayo de 2018 será directamente aplicable el Reglamento europeo General de Protección de Datos, de 27 de abril de 2016 (RGPD) -también conocido por sus siglas en inglés GDPR (General Data Protection Regulation)-, lo que en el caso de España significa que, en materia de protección de datos, a partir de la citada fecha de 25 de mayo de 2018, habrá que tener en cuenta las siguientes normas: 

• el Reglamento europeo General de Protección de Datos de 2016 (RGPD); 
  
  
• la actual Ley Orgánica española de Protección de Datos de Carácter Personal de 1999 (LOPD) en aquello que no se oponga al Reglamento europeo, salvo que antes se apruebe la nueva LOPD española. En ese caso, la nueva LOPD sustituiría a la anterior, resultando más fácil así su aplicación-; y 
  
• el resto de normas españolas sobre protección de datos (por ejemplo, el Reglamento español de Protección de Datos de 2007).