Nueva LOPD-GDD: todo lo que debes saber

La nueva Ley de protección de datos, conocida como LOPD-GDD, es una adaptación de la LOPD (Ley Orgánica de protección de datos) que teníamos en la legislación española desde finales de los 90. Con esta normativa se pretendía completar el Reglamento Europeo de Protección de Datos (RGPD) que había entrado en vigor en todo el continente a finales de mayo de 2018 y que tenía ciertos aspectos incompletos, corriendo el riesgo de proporcionar inseguridad jurídica a los ciudadanos.

La nueva normativa se definió como Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD) porque incluía 17 derechos digitales que no había hasta entonces y que eran necesarios, a raíz de la digitalización que están experimentando las PYME y los consumidores. La estructura de esta nueva ley orgánica estaba compuesta por un total de 97 artículos, una disposición derogatoria única, 22 adicionales, 16 finales y 6 transitorias.

Como hemos indicado, el principal motivo que llevó a los legisladores españoles a completar el RGPD europeo es que este dejaba sin seguridad jurídica algunos conceptos, no quedando suficientemente claros. Por tanto, los legisladores españoles tuvieron que introducir puntos para que tuvieran aplicación en España; son estos:

- Se reduce la edad mínima para dar consentimiento del tratamiento de datos personales, pasando de los 16 a los 14 años.

- Se endurecen las obligaciones que tienen que cumplir tanto los autónomos como las empresas con respecto a los datos de sus clientes. De esta manera, estos siguen siendo los dueños de su información, pudiendo rectificar o cancelarlos en cualquier momento, entre otras medidas.

- Cuando las imágenes de las cámaras de videovigilancia en las empresas se utilizan para preservar el control o la seguridad de los empleados, estas podrán ser tratadas con un rango de ley.

- La normativa también regula las comunicaciones publicitarias y comerciales de las asociaciones privadas, proporcionando amparo legal a los asociados o inscritos para denunciar el envío masivo de spam.

Una de las principales figuras que aparecen con el nuevo reglamento europeo es la del DPO o Delegado de Protección de Datos, que es el encargado y responsable de vigilar que las empresas cumplen con la ley. Debido a su importancia, para muchas empresas (especialmente las pequeñas) se hacía imposible meter a estos profesionales en plantilla, por lo que el reglamento permite que, en determinadas circunstancias, se externalice.

Contar con los servicios de un DPO es obligatorio para empresas que utilicen y traten la información de sus usuarios como uno de sus principales activos, como pueden ser las entidades financieras, aquellas que realicen envíos masivos de información o las que elaboren perfiles de usuario.

La LOPD española ha ampliado el listado de las entidades que deben tener esta figura entre sus filas, incluyendo a:

- Los colegios profesionales y sus consejos generales.

- Las universidades públicas y privadas, así como todos los centros docentes que incluyan enseñanzas reguladas por la ley.

- Todas las entidades financieras, especialmente, aquellas que trabajen con empresas.

- Las empresas publicitarias y de marketing, entre las que se incluyen las de estudio de mercado, sobre todo, cuando utilicen la información para realizar actividades o elaborar perfiles de los usuarios.

- Las empresas y los centros públicos y privados de salud. Así, estas entidades tendrán que mantener las historias clínicas según la Ley 41/2002, de 14 de noviembre.

- Las empresas de seguridad.

En primer lugar, tenemos que matizar que el CPO se integra en la empresa como parte del Comité Directivo, ya que tiene la responsabilidad de que las organizaciones cumplan con la protección de datos y necesita la colaboración al más alto nivel.

Queremos dejarte claro que el reglamento otorga a esta figura más competencias que las que tiene el responsable de seguridad, ya que este solo tiene que controlar y coordinar las medidas de seguridad, en todos los aspectos.

Así, las funciones más importantes del CPO son las siguientes:

1. Asesorar al responsable del tratamiento de los datos de la empresa sobre cómo ha de cumplir con el RGPD y hacerlo por escrito para dejar constancia.

2. Supervisión de que el encargado aplique las normas con rigor.

3. Responsable de la documentación, tanto de su conservación como del envío de las posibles violaciones de la información.

4. Supervisar y cooperar con la autoridad de control a la hora de responder a las solicitudes de protección de datos.

5 - Dar asesoramiento al demandante.

Las consecuencias de no cumplir con la nueva LOPD tienen diferente calado. Por una parte, están las sanciones económicas que se le pueden imponer a la empresa; hablamos de cantidades entre 600 y 600 000 euros dependiendo de cómo de grave se gradúe.

Por otra parte, tenemos que cuantificar también el deterioro de su imagen de cara a los clientes, sobre todo si nos referimos a empresas que manejan dinero o datos muy personales, como puede ser un centro de salud o una entidad de crédito.

Y más allá de las consecuencias externas, no podemos olvidar las internas. Si una empresa no tiene una adecuada política de protección de datos asume más riesgos que otras de una fuga de información, ya sea por la mala praxis de los empleados, por el envío de malware o por un robo de datos intencionado por parte de algún empleado descontento. 

Como ves, la adaptación de la LOPD española a la normativa europea refuerza, más si cabe, la protección de los datos personales de los ciudadanos y evita que las empresas hagan un uso inadecuado o abusivo de los mismos.

Para hacer cumplir eficazmente la ley de protección de datos, se ha establecido una figura responsable, la del DPO, que será quien vele por que la información de los usuarios esté a buen recaudo. Y puede que te haya sorprendido la cuantía de las multas aparejadas a su incumplimiento, por no hablar de la mala imagen que daría una empresa en caso de ser sancionada por este motivo.