Blog de Internet Security Auditors

Blog de Internet Security Auditors: Novedades del RGPD con respecto a la LOPD

Escrito por Internet Security Auditors | Dec 19, 2018 5:00:00 AM
En nuestro día a día, y sobre todo desde la inclusión en nuestra sociedad del mundo IT como una herramienta indispensable en nuestras vidas, realizamos una gran cantidad de acciones que impactan en nuestra privacidad. Cuando nos encontramos caminando podemos ser grabados por las cámaras que regulan el tráfico, cuando entramos en cualquier tienda también existen cámaras de seguridad, cuando navegamos por Internet dejamos una huella gigantesca sobre nuestras preferencias, gustos, datos personales, lugares que visitamos, además, sin pretenderlo, podemos aparecer en fotografías subidas a Internet por terceras personas en sus redes sociales.

Muchas veces, no somos conscientes de la cantidad de datos que compartimos sin pararnos a pensar en quién tratará estos datos, cómo serán usados, si están debidamente almacenados, y lo que es más importante, si una vez compartidos podemos recuperarlos, borrarlos y / o modificarlos.

Por ello, es necesario un reglamento que regule todo este tipo de situaciones en referencia a nuestros datos de carácter personal. En España, desde el año 1999 existe la Ley Orgánica de Protección de Datos (LOPD) y desde el año 2007 su Reglamento de Desarrollo de la Ley de Protección de Datos (RDLOPD).

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), aunque su aplicación no se hizo efectiva hasta el 25 de mayo de 2018. En estos dos años, las empresas debían realizar un proceso de adaptación progresivo y continuo a dicho reglamento, en todos aquellos aspectos que sean compatibles con la normativa vigente.

La LOPD es de las más tuitivas de Europa, por lo que el RGPD no introduce tantas diferencias como en otros países, aunque existen una serie de obligaciones adicionales a cumplir a partir del 25 de mayo de 2018.

¿En qué afecta el RGPD a la LOPD? ¿Qué hay de nuevo en este reglamento? A continuación, vamos a ver las principales novedades del RGPD respecto a la LOPD y su reglamento de desarrollo.
  1. Obtención del consentimiento para el tratamiento de datos
    • LOPD: El consentimiento del interesado es “toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”
    • RGPD: Añade que para considerar que el consentimiento es inequívoco, según el artículo 32 del RGPD, se requerirá una acción positiva que manifieste su conformidad o una declaración del interesado.  Ya no cabe el consentimiento tácito que en ocasiones permitía la LOPD, sobre todo en Internet. Por ejemplo, ya no se entenderá otorgado el consentimiento por la simple navegación en una página web.

      Además, se establecen condiciones específicas para obtener el consentimiento de los menores.
  2. Derechos de los interesados
    • LOPD: Los derechos marcados por la LOPD son los siguiente:
      • Derecho de acceso.
      • Derecho de rectificación.
      • Derecho de cancelación.
      • Derecho de oposición.
    • RGPD: Además de los derechos incluidos en la LOPD, el RGPD incluye los siguientes derechos:
      • Derecho de supresión: permite al interesado, en una serie de casos, obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan. No es más que una manifestación de los tradicionales derechos de oposición y cancelación, pero reforzado, y garantizado también en el entorno de Internet.
      • Derecho de limitación del tratamiento: consiste en reconocer la potestad del interesado de solicitar y obtener del responsable del tratamiento o fichero, una limitación del tratamiento de sus datos personales cuando concurran los siguientes supuestos:
        • Inexactitud.
        • Ilicitud.
        • Reclamaciones.
        • Oposición.
      • Derecho de portabilidad: permite al interesado recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento por medios automatizados, en un formato estructurado, de uso común y lectura mecánica, y transmitidos a otro responsable del tratamiento sin que lo pueda impedir el primer responsable.
  3. Deber de información
    • LOPD: Actualmente, la LOPD establece que se debe informar, en todo proceso de recogida de datos de carácter personal, de la finalidad, de la existencia de un fichero, de la obligación o no de la entrega y sus consecuencias, de los derechos del interesado y la identidad del responsable. Además, si el responsable ha obtenido los datos de terceros, dispone de un plazo de 3 meses para informar al interesado, indicando siempre la procedencia de los datos.
    • RGPD: El nuevo reglamento europeo refuerza esta obligación, introduciendo nuevos aspectos que deben ser comunicados al interesado. Debe informarse, de la base jurídica del tratamiento, el periodo de conservación de los datos de carácter personal y que los interesados pueden reclamar ante las autoridades de protección de datos, si consideran que existe un problema con la forma en la cual están tratando sus datos. Además, si la información se ha obtenido de terceros, deberá informarse al interesado en el plazo máximo de un mes.
  4. Comunicación de fallos a la autoridad de protección de datos
    • LOPD: La actual legislación no regula esta casuística.
    • RGPD: El nuevo reglamento europeo incorpora la obligación del responsable del tratamiento de notificar cualquier violación de seguridad de los datos de carácter personal, tanto a la autoridad de protección de datos, como al interesado.
  5. Evaluación de impacto del tratamiento de datos personales
    • LOPD: La actual legislación no regula esta casuística.
    • RGPD: Establece la obligación de realizar una evaluación de impacto para aquellas empresas que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. En este análisis debe evaluarse el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
  6. Aplicación de medidas de seguridad
    • LOPD: Establece en su RDLOPD una serie de medidas de seguridad a aplicar dependiendo de la clasificación de los datos de carácter personal que contenga, básicos, medios o altos.
    • RGPD: A diferencia de la LOPD, el RGPD no establece un listado de medidas de seguridad, sólo indica que las medidas de seguridad que se adopten deben ser apropiadas en función del riesgo. El desglose de las medidas de la LOPD, deberían bastar para cumplir con las obligaciones de protección de datos, por lo que dicho listado puede servir de manera orientativa a las empresas para medir su nivel de cumplimiento.
  7. Registro de tratamiento de datos
    • LOPD: La actual legislación no regula esta casuística.
    • RGPD: Las empresas u organizaciones que habitualmente realicen tratamiento de datos de riesgo para la los derechos y libertades de los interesados, o traten datos especialmente protegidos, o relativos a condenas e infracciones penales, deberán tener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro interno, el cual tienen que realizar tanto responsables como encargas del tratamiento, deberá realizarse por escrito, y contener información detallada acerca de cada uno de los tratamientos de datos que realicen.
  8. Delegado de protección de datos (DPO)
    • LOPD: La actual legislación no regula esta casuística.
    • RGPD: Nace la figura de Delegado de Protección de Datos, cuyas funciones son las siguientes:
      • Informar y asesorar al responsable del tratamiento de datos de carácter personal de las obligaciones que debe cumplir para alinearse con el reglamento general.
      • Supervisar la aplicación de las medidas de seguridad por el encargado del tratamiento en materia de protección de datos de carácter personal.
      • Supervisar la documentación, notificación y comunicación de las violaciones de datos de carácter personal.
      • Supervisar la respuesta a las solicitudes de la autoridad de protección de datos y cooperar con ella por solicitud de la misma o por iniciativa propia.
      • Ejercer de punto de contacto con la autoridad de protección de datos.

Por todos estos cambios, es conveniente que las empresas revisen su estructura interna para asegurar que tiene los mecanismos y medidas de seguridad correspondientes adecuadas para cumplir con el nuevo reglamento europeo. Además, de que tienen todo lo necesario para que el delegado de protección de datos pueda cumplir con su función adecuadamente, y que todos los empleados conocen los protocolos de actuación en materia de protección de datos.

En definitiva y sobre todo, es importante por un lado, adecuar las cláusulas de información al interesado y la recogida del consentimiento para que se realice conforme al nuevo reglamento y se haga efectiva sobre una base legítima válida y adecuada, y por otro lado, revisar todos los procedimientos de protección de datos y proveer a los sistemas que tratan los datos de carácter personal, de una capa de seguridad adecuada para proteger dichos datos y garantizar la seguridad de los mismos.


Autor: Sergio Moreno - PCIP, CCNA
Dpto. Consultoría