A lo largo del presente año 2018 está prevista la entrada en vigor de diferentes regulaciones europeas que van a tener consecuencias tanto a nivel de los sistemas de gestión empresariales, como del comportamiento de las aplicaciones web. Destacamos aquí las dos normas más importantes, desde nuestro punto de vista:
- Nueva LOPD
- ePrivacy o “ley de cookies”
La nueva LOPD es, en realidad el Reglamento Europeo de Protección de Datos (RGPD) ya en vigor, pero cuyo plazo de transición vence el próximo mes de mayo de este año. Viene a sustituir en la legislación nacional a la actual LOPD y tiene rango europeo. En cualquier caso, en el parlamento español se está tramitando un Real Decreto que vendrá a complementar la trasposición de la RGPD, teniendo prevista su publicación en abril, sólo unas semanas antes de la entrada en vigor de la RGPD.
Fundamentos de la nueva LOPD
La RGPD se ha inspirado en la regulación alemana de la LOPD, de la cual ha tomado toda una serie de requisitos, muchos de los cuales no existían en la regulación española. Resumimos a continuación las variaciones más importantes entre ambas:
- Mayor rendición de cuentas: con la nueva legislación, las empresas disponen de un plazo máximo de 72 horas para informar a la Agencia de Protección de Datos y, en su caso a las personas / empresas afectadas, en el caso de la detección de una brecha de seguridad en sus sistemas. Además se elimina la necesidad de registrar las bases de datos en la Agencia, ese registro debe llevarse internamente.
- Responsabilidad proactiva: las empresas tendrán que demostrar que disponen de sistemas y procedimientos que previenen las incidencias en materia de protección de datos, para lo que se debe desarrollar un “Análisis de Riesgo”.
- Delegado de Protección de Datos (DPO): se trata de una nueva figura, sólo obligatoria en según qué empresas, que deberá poseer unos conocimientos determinados (experiencia + formación reglada) y que debe asesorar y controlar internamente las medidas que se adoptan en cada empresa, así como cooperar con la entidad de control, cuando sea necesario.
- Más derechos ciudadanos: con la nueva RGPD se incrementan los derechos ciudadanos, en cuanto a sus datos manejados por terceros, así, se introducen nuevos conceptos, como el Derecho al Olvido o el Derecho a la Portabilidad, y se revisa la forma, en la que se obtiene el consentimiento para el uso de los datos personales, añadiendo el concepto “inequívoco” que destruye el consentimiento tácito (por silencio o inacción) que se aplicaba en la actual LOPD.
En cuanto a las sanciones en caso de producirse incidencias en el control de los datos personales disponibles, en lugar de hablar de franjas económicas de sanción (con un importe mínimo y un máximo por tipo de incidencia) como hasta ahora, únicamente se indica el importe máximo de la sanción (10 millones de euros o el 2% de la facturación anual para los casos leves y 20 millones de euros o el 4% de la facturación anual para los casos graves. El hecho de establecer un mínimo importe y lo elevado de los máximos supone, de facto un régimen sancionador mucho mayor que en la actual LOPD, con multas para casos leves que arrancaban en los 600 euros.
La nueva LOPD en Europa demanda una nueva mentalidad a la hora de tratar los datos personales y probablemente dificulte los procesos de captación y análisis de datos a ciertas empresas más innovadoras y las «big techs», que están más amparadas por las leyes más permisivas de Estados Unidos.
El reglamento europeo de ePrivacy
El Reglamento se aplica a todos los datos de comunicaciones electrónicas -sean personales o no- e introduce un consentimiento más estricto para la publicidad digital.
El nuevo Reglamento propone dejar de lado los avisos informativos de las webs y obtener el consentimiento a través del navegador, eligiendo la configuración de privacidad en la instalación. Los navegadores deben asegurarse de que los usuarios puedan revisar fácilmente sus opciones y mantener sus preferencias. En este momento de la propuesta, no está claro cómo funcionará esto en la práctica y si finalmente se recogerá así en la Ley.
Respecto a los dispositivos conectados (Internet de las Cosas), establece la necesidad de transparencia e información con avisos destacados sobre en el uso posterior de los datos.
Las comunicaciones comerciales no deseadas (llamadas automáticas, SMS, o email), seguirán requiriendo el consentimiento previo, y para productos similares el derecho de oposición (opt out).
El régimen sancionador establece unas multas similares al del Reglamento Europeo de Protección de Datos.