Así, la Ley Orgánica 15/1999, de 13 de diciembre, obligaba a toda persona física o jurídica que trataba datos de carácter personal a cumplir una serie de requisitos y protocolos de seguridad para el uso o almacenamiento de los mismos. El Real Decreto 1720/2007 (reglamento de desarrollo de la LOPD) era la norma que establecía esas medidas de seguridad, diferenciando entre las distintas categorías de datos personales y sus tratamientos.

El 15 de mayo de 2016 se aprobó una nueva norma, un reglamento europeo, que supuso un giro copernicano en el sistema de protección de la privacidad: el Reglamento General de Protección de Datos, de aplicación desde el 15 de mayo de 2018 y que se aplica en España junto con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que acompaña y suplementa su contenido. Por tanto, aunque mucha gente se sigue refiriendo a la LOPD cuando habla de protección de datos en España, en realidad se está refiriendo al Reglamento General de Protección de Datos y a la LOPDGDD, que es la normativa que se ha de cumplir en el Estado español.

Cuál es la principal diferencia entre las obligaciones en materia de seguridad que se establecen en el RGPD y la LOPDGDD y las que se establecían en la LOPD (en su reglamento de desarrollo)

La LOPD (en concreto, el Real Decreto 1720/2007 que la desarrollaba) establecía tres niveles de seguridad de la información y se refería a las bases de datos o “ficheros” de nivel básico, medio y alto. En este reglamento se establecían un estándar mínimo de seguridad a implantar por cualquier responsable de fichero, diferenciando entre ficheros automatizados y en papel. Incorporaba medidas específicas que servían para determinar si se estaba dando cumplimiento a ese estándar y para aplicar el régimen sancionador de la LOPD, que preveía sanciones de hasta 300.000 Euros para este tipo de infracciones. 

El RGPD, sin embargo, prevé un sistema muy diferente. En su artículo 32 establece una serie de medidas de seguridad de diferente alcance y deja su aplicación al criterio del responsable o encargado del tratamiento, que debe realizar un análisis de riesgos para determinar, en función de su exposición, que medidas en concreto se deben aplicar. Esto significa que no existe ya un estándar específico que rija en materia de seguridad, sino un mandato abstracto de proteger la información personal aplicando aquellas medidas que resulten oportunas en función del riesgo y del tamaño y recursos del responsable/ encargado del tratamiento. Un sistema mucho más flexible que el que existía con la LOPD pero que también está sujeto a un régimen sancionador mucho más gravoso, de carácter disuasorio, en el que las potenciales sanciones pueden alcanzar varios millones de euros en los supuestos más agravados. 

Cómo afecta a pymes y autónomos

Quizás quienes encuentran una mayor dificultad en cumplir la normativa son las pequeñas y medianas empresas y los trabajadores autónomos, ya sea por desconocimiento o porque no cuentan con los recursos suficientes. 

Además del citado análisis de riesgos y la consecuente política de seguridad de sistemas, son muchas las obligaciones formales y materiales que se deben atender para tener un nivel de cumplimiento aceptable de las normas, entre otras:

● Creación de un registro de actividades del tratamiento o RAT, es decir, un documento en el que queden definidos tanto los tratamientos como las medidas de seguridad empleadas. Hay que tener en cuenta que las autoridades pueden requerirlo en cualquier momento.

● Establecimiento de una serie de protocolos de ejercicios de derecho, de modelos de ejercicio y de modelos de respuesta. Con ellos se conseguirá ofrecer una respuesta adecuada a quienes solicitan la información.

● Redacción de contratos para la confidencialidad y las obligaciones RGPD que tienen los trabajadores y colaboradores. Estos documentos son esenciales para informar a aquellas personas que van a tener acceso a los datos personales.

● Creación de contratos de encargo de tratamiento con terceros, es decir, la regulación de la relación que se mantiene con aquellas personas (gestoría, encargados de la web, logística…) con las que se comparte información de la que la empresa es responsable.

● Creación de protocolos que declaren que la seguridad se ha visto perjudicada por una brecha. En este caso hay que exponer el hecho de haber sufrido una brecha en la seguridad en la que se ha expuesto la información personal que se alberga. El primer organismo que debe conocer este problema será la Agencia Española de Protección de Datos (AEPD), así como quienes se han visto afectados por la posible fuga de datos. En cuanto al tiempo máximo para llevar a cabo la notificación, será de un plazo máximo de 72 horas. Para determinar cuándo es preciso realizar estas comunicaciones es recomendable seguir la Guía para la gestión y notificación de brechas de seguridad de la AEPD.

● Adaptar la página web de la empresa al RGPD/ LOPDGDD y a la normativa de privacidad en internet (LSSICE). Este punto no se debe pasar por alto puesto que puede provocar la emisión de multas por incumplir el reglamento. Así pues, entre los textos básicos que debe tener la web se encuentran los siguientes: Aviso legal, Política de cookies, Política de privacidad y las primeras capas informativas en cada uno de los formularios. Conviene apuntar que el consentimiento de los usuarios ha de ser libre, informado, específico e inequívoco.