España introduce nuevos derechos digitales que afectarán, entre otras cosas, a la rectificación de las publicaciones de los medios de comunicación, las albaceas digitales, más opciones para el derecho al olvido en internet o la regulación de la desconexión.
La nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD), que hace una transposición del Reglamento General de Protección de Datos (RGPD) de obligado cumplimiento desde el pasado mayo, introduce nuevos derechos digitales que afectarán a las empresas, instituciones y ciudadanos españoles. Un paquete de medidas en las que se recogen, entre otras cosas, un nuevo derecho de rectificación en internet o la ampliación de las albaceas digitales.
¿Qué implicaciones tiene para mí o mi empresa?
Pues bastantes, ya que cambia (casi) todo:
Cambia la filosofía. Antes la LOPD te decía lo que tenías que hacer, y tú lo hacías o te podían multar. Con el RGPD la protección de datos se lleva al inicio de la actividad. De hecho, es uno de los nuevos principios: protección de datos por defecto y desde el diseño. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos.
Cambian los derechos de los afectados. Además de los derechos habituales ARCO (acceso, rectificación, cancelación -ahora supresión- y oposición -ahora limitación-), surge el derecho al olvido (revocación del consentimiento para el tratamiento de datos, pudiendo exigir su eliminación en redes sociales o buscadores) y el de portabilidad de los datos (se podrá solicitar la transferencia de los datos de un proveedor de servicios en Internet a otro). Los nuevos derechos, por supuesto, suponen nuevas obligaciones para ciertas empresas.
Surgen nuevas figuras, como el Delegado de Protección de Datos (DPO por sus iniciales en inglés), que es la persona, interna o externa, que asista a las organizaciones en el proceso de cumplimiento normativo.
Cambia la documentación. Las cláusulas (por ejemplo de obtención del consentimiento) y contratos (siendo el más habitual el del Encargado del Tratamiento) serán mucho más complejos, ya que deberán incluir obligatoriamente una serie de información adicional que ahora no incluyen. Por ejemplo, la información que debía tener una cláusula legal en materia de protección de datos debe ser, como mínimo la siguiente: finalidad, destinatarios de los ficheros, obligación o no de la entrega de datos y sus consecuencias, derechos del interesado (los comentados en el punto anterior) y la identidad del responsable. Ahora, además, tendrá que informar de: la base jurídica, el tiempo máximo de tratamiento, la identificación del DPO (si procede), si existen transferencias internacionales (fuera de la UE), el derecho a presentar una reclamación (se habilita una ventanilla única europea, por cierto) y si existen o no decisiones automatizadas sobre el tratamiento de los datos.
Cambian los trámites administrativos. Ya no habrá que inscribir Ficheros en la AEPD, sino registrar Tratamientos. Esto es mucho más dinámico… pero a nivel práctico es posible que conlleve una carga administrativa superior.
Aumentan las sanciones, que ahora serán de hasta 20 millones de euros o un 4% de la cifra de negocio. Es decir, las sanciones máximas se multiplican por más de 30… Por tanto, se hace aún más imprescindible el cumplimiento de esta normativa.
Etc. Un extenso etc.
No nos vamos a extender demasiado en esto, pues realmente tampoco te interesan los detalles técnicos o jurídicos. La idea principal con la que queremos que te quedes es que todo va a cambiar, y que, sí o sí, debes cumplir la LOPD/RGPD (y hacerlo bien, claro).