15.05.2018
¿Que es la RGPD y que implica para nuestros clientes?
Debido a la controversia y la gran confusión que se esta creando con la adaptación al Reglamento Europeo de la Ley de Protección de Datos (RGPD) hemos decidido preparar esta noticia informativa para nuestros clientes en el cual vamos a explicar parte de los procedimientos y tratamientos que hay que realizar para cumplir con la RGPD,
Primero deseamos advertirles de que hay muchos profesionales y empresas contribuyendo enormemente a la gran confusión general y el desconocimiento sobre este reglamento y haciendo mas difícil la labor de aquellos que queremos facilitar el cumplimiento de esta ley a nuestros clientes haciendo que impacte lo menos posible en su actividad diaria y que no les vaya a requerir meses de estudio de normativas y guiás para comprender de que va el tema.
Dichos aprovechados, a falta de una palabra mejor, andan ofertando sus servicios asegurando que a estas alturas todos deberíamos tener ya la adaptación al reglamento hecha. Ofertan en muchos casos una adaptación incompleta y/o errónea, obviando varios aspectos que han de realizarse, tanto por aquellos profesionales de Protección de Datos como por cada negocio o empresa que desee cumplimentarla en su totalidad. Por ello les recomendamos que extremen la precaución y examinen con cuidado la publicidad o los correos que les lleguen sobre la RGPD ya que en su mayoría suelen inducir al miedo ante la llegada del plazo del vencimiento para forzar una decisión precipitada.
Centrándonos ahora en explicar mejor en que consiste la RGPD y porque se ha generado tanta controversia con el tema lo haremos desde una comparativa con la actual Ley aun en efecto hasta el día 25 de Mayo.
La Ley de Protección de Datos (LOPD) obligaba en primera instancia a dar de alta lo que se denominan ficheros. Un fichero es básicamente un conjunto de información que se obtiene con una finalidad concreta, es decir, cualquier dato e información de clientes, proveedores, trabajadores o profesionales con los que se ejerza la actividad diaria para poder realizar negocios, ventas, asesoramiento, facturación, etc. Dichos ficheros se especificaban a la Agencia Española de Protección de Datos para su alta en el Registro de Protección de Datos. Un registro de dominio público y que demostraba a primera instancia que los negocios, profesionales y empresas ya cumplían con dicha ley. En muchos casos dicho registro era usado de forma incorrecta por ofertadores del servicio de LOPD para aquellos a los que no veían dados de alta en él o si lo estaban insistiendo que no era así. Algunos de nuestros clientes sufrieron esto directamente.
Con el Reglamento Europeo dicha alta ha dejado de ser obligatoria, aunque los ficheros deben seguir siendo especificados en el Registro de Tratamiento, del cual hablaremos mas adelante. Lo mas curioso de este aspecto es que dicho Registro de Protección de Datos no va a ser borrado, sino que la Agencia Española ha decidido dejarlo ahí de momento hasta que se apruebe el reglamento, lo cual podría significar que en el futuro se tengan que realizar dichas altas de nuevo como siempre se han hecho.
Este aspecto es importante mencionarlo ya que refleja mejor que nada la actual situación. La Normativa Europea lleva dos años aprobada, pero cada estado debe adaptarla a su territorio, como en la mayoría de las leyes y normativas europeas. En este caso el estado Español solo dispone de un reglamento pendiente de aprobación, el cual puede variar muchísimo o no con el tiempo y sobre el cual todos los profesionales nos estamos basando a falta de algo mejor. Esto significa que aunque hagamos la adaptación a la RGPD por completo seguramente en los siguientes meses deberemos modificarlo y re-adaptarlo. Este aspecto es importante porque muchos que ofertan la adaptación no lo mencionan en absoluto, ya sea por desconocimiento o por otros motivos. De hecho los propios cursos de formación que se llevan realizando desde principios de año solo impartían teoría o explicaban la propia ley europea. No ha sido hasta principios de Mayo que dichos cursos han empezado a formar debidamente para realizar todos los procedimientos. Por nuestra parte nuestro objetivo es ofertar la adaptación que hay que realizar ahora y todas las futuras que requieran las modificaciones del reglamento.
El siguiente paso en la LOPD era el que se denomina Deber de Información. El Deber de Información consistía en adaptar la documentación oficial y comunicaciones de un negocio, profesional o empresa para reflejar que cumplimentaban la ley. Para ello se debían incluir ciertas clausulas en facturas, correos electrónicos, faxes e incluso en portales web. La RGPD ha desarrollado mas extensamente este apartado y requiere cumplir con mas obligaciones por parte del interesado y ser mucho mas activo en este Deber de Información. Desde extensos Avisos Legales y ventanas informativas en las paginas web a Clausulas mas extensas y detalladas en la documentación oficial, pasando por obligaciones y procedimientos o consentimientos por escrito que todos debemos cumplir dentro del propio negocio o empresa. Este apartado es extenso y requiere un estudio personalizado de cada negocio para saber que debe realizarse y que no, ya que las obligaciones varían según el tipo de actividad.
Para ello han incluido dos procedimientos mas para establecer que medidas de seguridad y obligaciones deben cumplimentarse. El Análisis de Riesgos y el Estudio de Impacto de Protección de Datos (EIPD). Basta decir que el Análisis de Riesgo es algo que todos debemos realizar y según el nivel de riesgo en que esta auditoria nos establezca estaremos obligados o no a realizar el EIPD. Para ello este despacho anda preparando formularios que nosotros mismos, con la ayuda de nuestros clientes, rellenaremos con toda la información necesaria para realizar ambos procedimientos. En los próximos días recibirán una llamada, un email o una visita nuestra para realizar dicha auditoria, de ser necesario. En muchos casos ya disponemos de información suficiente para realizarlas, gracias en gran parte a ya tener la LOPD hecha y a la actividad diaria que ejercemos con muchos de vosotros, y es por ello que en breve podremos iniciar la cumplimentación de dichos procedimientos.
El último paso que se realizaba en la LOPD era la redacción del Documento de Seguridad. Un documento que todo negocio, profesional y empresa que cumpliera con la ley debía tener a buen recaudo y en el que constaban todos los procedimientos y la información anteriormente recogida para el cumplimiento de la misma. Documento que de ser requerido por las autoridades pertinentes debía serles facilitado y de no hacerlo incurría en sanciones. El RGPD ha sustituido dicho documento por el Registro de Tratamientos, que es, a falta de una manera mejor de expresarlo, lo mismo pero con mucha mas información y mucho mas trabajo por delante. Por ser el último paso a realizar es el que requiere menos implicación por parte de nuestros clientes y, aunque laborioso, también es el menos complicado de realizar. Dicho Registro de Tratamientos sera la prueba de que se tiene realizada la adaptación a la RGPD y sera el documento requerido en primera instancia en caso de una comprobación de la misma. Por suerte el nuevo reglamento ya contempla tener dichos documentos en formato digital y no necesariamente alojados en las instalaciones del propio negocio o interesado, mientras se tenga acceso a él cuando sea necesario. Esto nos facilita el trabajo ya que no sera necesario tenerlo impreso en papel ni en formato físico como en un CD o memoria USB.
En resumen, la adaptación al RGPD es un proceso laborioso que requiere recolectar mucha información mediante auditorias, que nosotros ya realizábamos para la LOPD, pero que ahora deben ser mas extensas y precisas. En muchos casos ya tendremos la información necesaria para realizarlas, en otros, como por ejemplo aquellos que no tenían la LOPD hecha, requerirá que este despacho se ponga en contacto con ustedes para recabar la información pertinente. Una vez hecho este procedimiento les facilitaremos Guiás, explicaciones y podrán realizarnos las consultas que hagan falta para cumplimentar el Deber de Información, tanto en su documentación oficial como en su pagina web de existir una. Revisaremos caso por caso hasta que todo y todos cumplamos debidamente con lo exigido, ahora y en futuras modificaciones de la normativa. El último paso sera facilitar a nuestros clientes el Registro de Tratamientos para que lo tengan a buen recaudo en caso de que se lo requieran en un futuro. Para ello dispondrán de nuestro Archivo Digital en www.finangestsl.es donde dispondrán del formato digital del Registro y las Guiás mencionadas y que podrán descargar a sus equipos también. Una vez al año realizaremos una auditoria para cumplir con el reglamento y mantenerlo todo al día, sobretodo el Registro de Incidencias, del cual les informaremos una vez este todo lo demás hecho.
Como comprenderán la RGPD requiere rellenar mucha mas documentación, realizar mas procedimientos y obligara a nuestros clientes a adaptar, en algunos casos, su forma de trabajar. Por ello estamos preparando Guiás informativas claras, sencillas y especificas para poder informarles lo mejor posible. Con ello y nuestros teléfonos y correos de contacto esperamos no solo ayudarles a cumplir con la RGPD sino poder aclararles cualquier duda que pueda surgir en este mes y los siguientes.
Entendemos por supuesto que el plazo dado inicialmente para cumplimentar la ley esta a la vuelta de la esquina y que se nos echa el tiempo encima. Pero deben entender que nos ha sido imposible empezar a trabajar en el tema antes, debido a la incapacidad de presentarnos un reglamento aprobado y las aclaraciones pertinentes de como realizar la documentación y varios procedimientos por parte de las autoridades pertinentes. Estamos trabajando a contrarreloj y lo mas rápidamente posible para no solo tener la adaptación realizada cuanto antes sino de forma correcta. Cabe destacar que uno de los primeros aspectos que dejaron claros en dicho reglamento son que las sanciones serian tanto por no tenerlo como por tenerlo realizado incorrectamente y de ahí que la mayoría de profesionales hayamos ido con mucho cuidado con el tema.
Queremos entender que las autoridades serán razonables al respecto y no se dedicaran a imponer sanciones cuando no hay un reglamento aprobado a estas alturas, algo que es novedoso ya que hasta ahora el incumplimiento requería desconocer la norma o no entenderla, no que no existiera directamente. Esperamos que nos den a todos un tiempo razonable para cumplir con el reglamento. De no ser así tengan por seguro que este despacho estará a su disposición para realizar las alegaciones pertinentes a los procesos sancionadores que las autoridades quieran realizar.
Esperamos que este correo haya sido lo suficientemente informativo para resolver las mas que numerosas dudas que seguramente tengan sobre el tema del reglamento europeo y por supuesto estamos siempre a su disposición en nuestros teléfonos y correos electrónicos.