El Reglamento General de Protección de Datos, de obligado cumplimiento a partir del 25 de mayo, surge por la necesidad de unificar el marco normativo europeo en materia de protección de datos. Este establece nuevas normas para proteger el tratamiento de los datos personales, reforzando la seguridad jurídica y el grado de protección de los ciudadanos.
NOVEDADES DE LA NORMA
- Principio de responsabilidad proactiva
Las organizaciones tienen que implementar medidas técnicas y organizativas pertinentes para proteger los datos personales. Tienen que hacer un análisis del riesgo de los tratamientos que realizan en base al cual establecer las medidas necesarias para para proteger los datos personales. La Agencia Española de Protección de Datos, AEPD, facilita una guía para hacer el análisis con una lista de riesgos que pueden darse en el tratamiento de los datos. Los riesgos tienen que ser valorados en dos magnitudes: probabilidad de que se produzcan y gravedad de los mismos.
En algunos supuestos además hay que hacer una Valoración de impacto:
- Cuando se tratan datos sensibles a gran escala (datos de salud, afiliación sindical, origen racial, vida sexual).
- Observación sistemática a gran escala de una zona de acceso público (ej. Videovigilancia en centros comerciales).
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se hace en un tratamiento automatizado, por ejemplo, la elaboración de perfiles.
También puede consultarse en la web de la AEPD una guía para hacer esta valoración.
- Nuevos derechos de los interesados
- Derecho de acceso a la información
- Rectificación
- Supresión o derecho al olvido
- Oposición
- Limitación del Tratamiento
- Portabilidad de los datos
El ejercicio de estos derechos es gratuito aunque el reglamento abre la puerta a que se pueda cobrar si hay un uso abusivo de los derechos. Las empresas deben desarrollar procedimientos para responder a estos derechos que sean accesibles y sencillos.
- Designación de un Delegado de Protección de Datos, DPO
Es obligatorio la designación de un Delegado de Protección de Datos en los siguientes casos:
- Autoridades u organismos públicos.
- Cuando la actividad principal consista en operaciones de tratamiento que por su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala.
- Cuando la actividad principal consista en el tratamiento a gran escala de datos sensibles.
El DPO puede ser un persona interna o externa de la organización, persona física o jurídica, tiene que ser un conocedor de la normativa y tiene que comunicarse su existencia al AEPD (hay un formulario alojado en su web para ello).
- Comunicación de las brechas de seguridad
El RGPD obliga a comunicar en un plazo no superior a 72 horas las brechas de seguridad a la AEPD y, en algunos supuestos, a los propios afectados. Es importante elaborar un procedimiento interno en las empresas del registro y comunicación de las incidencias para saber cómo se debe actuar en el caso de que se produzca una brecha de seguridad.
- Se elimina la obligación de inscripción de los ficheros en la AEPD
Y lo sustituye por el control interno de los mismos mediante el registro de actividades de tratamiento con un contenido muy similar a los ficheros que se comunicaban a la AEPD (la agencia recomienda que en el registro de actividades se traslade la información de los ficheros).
- Principio de transparencia en el tratamiento de datos personales
Se tienen que actualizar las clausulas legales a través de las cuales se informa a los interesados por la recogida de sus datos personales con las cuestiones de ¿para qué? ¿por qué? ¿a quién? Y el plazo de conservación de los datos.
Las empresas sólo podrán trabajar con aquellos encargados del tratamiento que aporten garantías de que están cumpliendo el RGPD.
- Consentimiento
El consentimiento tiene que ser expreso, tiene que ser un acto afirmativo claro, no vale que sea tácito.
- Denuncias
Se permite presentar denuncias a través de asociaciones de usuarios y se pueden exigir daños y perjuicios por el tratamiento ilícito de los datos personales.
- Las sanciones
Las sanciones han aumentado pudiendo llegar a los 20 millones de euros o al 4% de la facturación global anual aunque existe la posibilidad del apercibimiento si la infracción es leve y no intencionada, otorgando un plazo para subsanar la brecha de seguridad.
A continuación puedes acceder al video íntegro del seminario sobre los “Pasos a seguir para adaptarse al Reglamento General de Protección de Datos” organizado por el Colegio de Economistas de Madrid e impartido por Jorge de Diego Retuerta, Abogado Senior en Picón y Asociados Abogados.