Desde que en 2017 se aprobó el proyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), las empresas han estado adaptándose al nuevo marco normativo a contrareloj. Fecha límite, 25 de mayo de 2018. Desde entonces, todas las empresas e instituciones de la Unión Europea deben cumplir con la nueva normativa. Pero, ¿realmente las organizaciones están adaptadas al cambio? ¿Somos conscientes de las principales adaptaciones de la nueva normativa?
Muchas de las empresas españolas han recurrido a auditorías y asesores para realizar esta transición. Personas que conozcan al pie de la letra la anterior y la actual normativa. En el post de hoy repasamos los cambios más destacados de la LOPD. Si te interesa el tema y quieres comenzar a especializarte, te sugerimos que empieces por nuestro Mástar Internacional en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014.
Índice de contenidos
Principales novedades de la LOPD
Antes de empezar, un apunte importante de contextualización. Ante los cambios disruptivos de la tecnología, la legislación ha debido adaptarse a los nuevos escenarios que plantea internet. Escenarios donde los derechos de las personas, que hacemos uso cada día, se ven vulnerados de maneras muy distintas. Tan distintas que no eran previstas en la anterior normativa y que dejaban al descubierto el derecho a la intimidad de los y las usuarias.
Así, ¿cuáles son los principales cambios?
Protección des del diseño
El objetivo primordial que plantea el Reglamento es proteger los derechos y la privacidad de las personas. Para hacerlo, la adaptación de la normativa está enfocada desde los posibles riesgos que los usuarios pueden sufrir según el tratamiento de sus datos personales. Por eso insiste en que cada empresa debe evaluar y predecir qué tipo de perjuicios puede provocar a sus usuarios. La cuestión es diseñar sus servicios desde la protección. Es decir, tener en cuenta el máximo de daños que pueden causar para diseñar un servicio seguro y de calidad.
Responsable del Tratamiento de Datos Personales
Con esta nueva adaptación, donde el foco de atención recae en la protección del usuario y no en la empresa, se precisa de una persona física o jurídica encargada de controlar y evaluar el proceso de manipulación de datos personales en su empresa. La novedad es que además de ser responsables, las empresas deberán demostrar que realmente lo son, documentando todo el proceso.
Invalidez del consentimiento tácito o por inacción
Las páginas webs que entiendan la inacción o el consentimiento tácito del usuario para recoger datos personales, estarán incumpliendo con la normativa. El usuario debe dar su consentimiento de forma totalmente explícita, de lo contrario se vulnera su derecho a la privacidad. Por ello, el nuevo Reglamento insiste en el consentimiento informado para realizar este tipo de acciones.