12/03/2018

RGPD

RGPD

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD, en adelante). Sin embargo, no deviene aplicable de forma obligatoria hasta el 25 de mayo de este año (2018). A partir de ese momento, las empresas que no lo cumplan corren el riesgo de ser sancionadas así como de sufrir un daño reputacional importante.

El propio RGPD establece que a pesar de tener aplicabilidad directa, los Estados Miembros pueden legislar con la finalidad de desarrollarlo. Así, en España se está tramitando un Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal que pretende adaptarse a él.

Las principales novedades y modificaciones en la materia necesarias para establecer la política de protección de datos, son las siguientes:

1.- LOS REQUISITOS PARA LA VALIDEZ DEL CONSENTIMIENTO: El consentimiento debe ser libre, inequívoco, específico e informado. Es decir, el consentimiento tácito es una práctica aceptada en la actual normativa pero dejará de serlo a partir de la fecha señalada ya que el consentimiento ha de ser escrito. Por lo tanto, es recomendable no seguir obteniendo consentimientos por omisión y revisar los tratamientos ya otorgados para adaptarlos a la nueva normativa.

En virtud del principio de responsabilidad, cuando el tratamiento se basa en el consentimiento del interesado, corresponderá al responsable del tratamiento demostrar que el interesado prestó el consentimiento por cualquier medio de prueba admisible en derecho. Es decir, la carga de la prueba recae en el responsable del tratamiento.

Deberemos tener en cuenta que el afectado debe poder revocar su consentimiento en cualquier momento a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o del tratamiento. Es decir, debe ser tan fácil prestar el consentimiento como retirarlo.

2.- APARICIÓN DE NUEVOS DERECHOS: junto a los ya instaurados derechos ARCOs (acceso, rectificación, cancelación y oposición), aparece los siguientes derechos:

2.1.- DERECHO AL OLVIDO/SUPRESIÓN: consiste en el derecho de borrado de sus datos personales. Sin embargo, debemos tener en cuenta que no es un derecho absoluto ya que el Reglamento contempla casos en los que no procederá el derecho de olvido. Por el contrario, el RGPD contempla también, supuestos de obligado ejercicio de este derecho.

2.2.- PORTABILIDAD DE LOS DATOS: el interesado tiene derecho a transmitir sus datos a otro responsable sin obstáculos por parte del responsable al cual le han sido proporcionados cuando el tratamiento se base en el consentimiento o se haga a través de medios automatizados.

2.3.- LIMITACIÓN DEL TRATAMIENTO: se materializa en tres aspectos:

– la limitación de la finalidad de los datos: los datos deben ser recogidos con fines determinados, explícitos y legítimos, debiendo determinarse en el momento de su recogida. El interesado deberá ser informado de todas las finalidades con las que se pretenden tratar sus datos y éste debe otorgar su consentimiento expreso para todas y cada una de ellas.

– limitación del plazo de conservación: El RGPD exige garantizar que se limite la finalidad del tratamiento a un mínimo estricto el plazo de conservación. Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.

– minimización de los datos: el RGPD establece que los datos deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

3.-PRINCIPIO DE RESPONSABILIDAD PROACTIVA o ‘’ACCOUNTABILITY’’: se cambia de mentalidad, pasando de un enfoque reactivo a uno preventivo. Es decir, las entidades deben asumir una posición activa y diligente en el tratamiento de los datos personales.

4.-TRATAMIENTO DE LOS DATOS DE LAS PERSONAS FALLECIDAS: se permite a los herederos de la persona fallecida, albacea o a la persona o institución designada, solicitar el acceso, rectificación o supresión de los datos personales, salvo la prohibición expresa de la persona fallecida o que lo prohíba la ley.

5.- AMPLIACIÓN DEL DEBER DE INFORMACIÓN: la información a los interesados ahora tiene más exigencias tanto respecto a las condiciones de los tratamientos como en las respuestas a ejercicios de derechos por parte de los interesados. Tal es así que los responsables del tratamiento han de notificar a los interesados sobre las violaciones de seguridad que puedan haber sufrido sus datos, así como a las autoridades de control competentes.

6.-LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS (DPO): Este cargo será obligatorio en determinadas empresas, aunque es recomendable que cualquier empresa que realice un tratamiento de datos de carácter personal tenga una figura, interna o externa, experta en la materia. El DPO rendirá cuentas directamente a dirección. Se recomienda que el DPO, realice informes periódicos para reportar a dirección, de la situación de los distintos tratamientos de datos y de las acciones que se realizan para verificar que se cumple con la normativa de protección de datos en todos los niveles.

El DPO es, además, la persona de contacto de la empresa con la autoridad de protección de datos y con el interesado.

7.-EVALUACIÓN DE IMPACTO DEL TRATAMIENTO DE DATOS: es la acción o informe que deberá llevar a cabo la empresa cuando se quiera desarrollar un nuevo tratamiento. Concretamente, deberá realizarse cuando exista la probabilidad, en un tipo de tratamiento, en el que sobre todo por la utilización de las nuevas tecnologías, por su naturaleza, por su alcance, contexto o fines, pueda entrañar un riesgo para los derechos de las personas.

A pesar de que la evaluación de impacto es recomendable realizarla ante cualquier tipo de tratamiento, el RGPD contempla una serie de supuestos en los que es obligatorio llevar a cabo dicha evaluación.

8.-SANCIONES MÁS ELEVADAS: se incrementa el importe de las sanciones en los supuestos más graves hasta los 20 millones de euros o, tratándose de una empresa, hasta un 4% de su facturación, escogiéndose el importe que resulte mayor.

9.-AUDITORÍA DE LA PROTECCIÓN DE DATOS: el RGPD ha cambiado varios aspectos de la auditoría. Así, desaparece la auditoría bienal y promueve que la auditoría se realice de manera continuada, aceptando que la misma se realice de manera interna o externa.

10.- ACCIONES Y MEDIDAS DE SEGURIDAD:  es una novedad la supresión de unas medidas de seguridad determinadas y claras, haciendo únicamente referencia a la aplicación de aquellas medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado al riesgo.  Es decir, no concreta qué tipo de medidas deben aplicarse, a diferencia de lo que ocurre con la actual normativa de protección de datos que describe de manera detallada las medidas de seguridad que deberán implementarse.

Aún no hay comentarios.

Dejar un comentario

Borrar los campos del formulario