Como es sabido, el pasado 25 de mayo de 2018 empezó a aplicarse en toda la Unión Europea el Reglamento (UE) 2016/679 general de protección de datos del Parlamento Europeo y el Consejo, de 27 de abril de 2016 (conocido por sus siglas RGPD).

En el BOE del pasado 6 de diciembre (día de la Constitución) de 2018 apareció publicada la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (conocida como nueva LOPD 2018).

A pesar de que el Reglamento es aplicable sin necesidad de una ley que lo desarrolle, pues ya prevé normas para su aplicación directa, esta nueva Ley Orgánica nace de la necesidad de adaptación al ordenamiento jurídico español de dicha disposición europea (aunque más que de una “adaptación” habría que hablar de una norma interna complementaria para hacer plenamente efectiva su aplicación).

En resumidas cuentas, tanto el RGPD como la LOPD 2018 están enfocados en limitar los tratamientos de los datos personales de los ciudadanos por parte de entidades <<cuya actividad principal consista en la observación habitual y sistemática de interesados a gran escala>>, que debido al enorme desarrollo que han sufrido las tecnologías de la información y la comunicación desde la obsoleta LOPD de 1999 (que cuando fue redactada no podía prever la invención posterior de redes sociales como Facebook [creada en 2004], Twitter [2006] o Whatsapp [2009]) dejaba un vacío legal que aprovechaban algunas corporaciones para tratamientos indebidos de nuestros datos personales.

Para estas entidades se han endurecido enormemente las exigencias, así como el régimen sancionador para los infractores (con multas de hasta 20 millones de euros ó el 4% de la facturación global de la corporación).  

Ocurre lo contrario para las pymes que tratan datos de carácter básico, a las que se les ha aligerado la carga de obligaciones, lo que no significa ni mucho menos que se puedan desentender de sus responsabilidades; de hecho, ahora se les exige una responsabilidad proactiva: ya no es “haga usted esto y esto”, sino “tome usted activamente el control, determine sus riesgos y tome las medidas preventivas que estime necesarias para anticiparse a las posibles brechas de seguridad”.

Pero ya no es preciso inscribir ficheros en la AEPD ni redactar y mantener un documento de seguridad. Sí que hay que mantener un “registro de actividades”*

[* <<Están exentas de la obligación de tener este registro de actividades las organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales>>. OJO: porque <<estas excepciones aplican en casos muy limitados, puesto que en la práctica todos los tratamientos pueden suponer un riesgo para los derechos y libertades de los interesados, aunque sea ocasional, lo que significa que en la práctica, la mayoría de entidades con menos de 250 trabajadoras también están obligadas a llevar el registro de actividades de tratamiento>>].

Para facilitar la adecuación a la nueva normativa, la AEPD ha puesto a disposición de las pymes la herramienta FACILITA_RGPD, que proporciona orientación y ayuda para la elaboración del registro de actividades de tratamiento, las cláusulas informativas, las cláusulas contractuales para encargados del tratamiento y las medidas de seguridad a adoptar. Es una herramienta totalmente gratuita y sencilla de manejar, pues consiste en rellenar un cuestionario (son solo tres pantallas de preguntas muy concretas) y en respuesta la herramienta genera diversos documentos adaptados a su empresa concreta, cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas. Para acceder a esta herramienta pulse aquí.

No obstante lo arriba expuesto, APEHA pone a su disposición nuestro departamento de protección de datos, para atender las dudas que les puedan surgir a nuestros asociados: Fernando 672142945 fernando@alicantehosteleria.com