El pasado 25 de Mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que vendrá a sustituir a la actual LOPD y su Reglamento de Desarrollo. Aunque esta nueva normativa no tendrá aplicación hasta el 25 de Mayo de 2018, desde LEGALDATA creemos que es necesario empezar a analizar los cambios que trae consigo esta nueva normativa.
Este análisis se realizará a través de varias entradas en este blog. La primera cuestión que a mi juicio hay que abordar es el cambio de paradigma o perspectiva que tenemos que tener en cuenta. Actualmente la normativa de protección de datos exigía un cumplimiento estanco o cerrado enfocado a no lesionar los derechos de los ciudadanos, pero con el nuevo Reglamento se exige un principio proactivo de cumplimiento.
Existe un cambio de paradigma o visión con el nuevo RGPD, el nuevo cuerpo normativo exige un cumplimiento más anticipativo
El artículo 5 y 24 del RGPD, indican que el Responsable del Tratamiento de Datos (es decir, aquel que pueda decidir sobre la finalidad del tratamiento) ha de implementar un sistema demostrable de cumplimiento -en base al riesgo que el tratamiento de datos de su empresa tenga- de medidas técnicas y organizativas apropiadas con el fin de garantizar el tratamiento de dichos datos.
Artículo 5 RGPD: El responsable del Tratamiento será responsable del cumplimiento (…) y capaz de demostrarlo.
Este cambio de paradigma, hace que tanto Responsables como Encargados tengan una obligación proactiva desde el inicio de la actividad para llevar a cabo un cumplimiento de la normativa de protección de datos. Este principio está estrechamente vinculado con los principios de implantación de cumplimiento “desde el diseño” y “por defecto”, es decir, cumplimiento desde que se inicia la actividad y en todas las áreas donde dichas medidas sean necesarias.
Es esencial, que tengamos presente que estamos ante un cambio de normativa. Tal como indicábamos al comienzo de esta entrada, el nuevo RGPD trae consigo un cambio de paradigma o de visión. Actualmente la LOPD y el RLOPD tiene la finalidad de cumplimiento normativo para no lesionar ningún derecho a los ciudadanos, pero este nuevo cuerpo normativo se trata de un efecto anticipativo o activo y continúo siempre previo al tratamiento.
Pero no es baladí esta cuestión. Nos podríamos preguntar si las medidas de seguridad que se contemplan en el artículo 9 y siguientes del RLOPD es análogo a las medidas de seguridad que describe el RGPD. Sobre la base algo tenemos si tenemos éstas implementadas, pero el RGPD trae consigo una nueva serie de medidas, como pueden ser: el Registro de Actividades, las Evaluaciones de Impacto, el DPO (Delegado de Protección de Datos), Notificación de Violación de Seguridad, entre otras; sin embargo, para no hacer demasiado extensa esta entrada nos emplazamos a sucesivas entradas en el blog.