Novedades y Cambios en el nuevo Reglamento Europeo de Protección de Datos - Lexpirit
Despacho profesional de abogados especializado en la prestación de servicios de ética y cumplimiento normativo («compliance») para empresas, fundaciones, asociaciones y, en general, para cualquier tipo de organización. Diseñamos sistemas integrales de ética y programas de compliance, implementamos y gestionamos canales internos de denuncia, y contribuimos a establecer sistemas y políticas y a redactar memorias de responsabilidad social acordes con los requisitos de cada sector y con los requerimientos de los correspondientes grupos de interés.
Compliance Services
930
post-template-default,single,single-post,postid-930,single-format-standard,ajax_leftright,page_not_loaded,,qode-title-hidden,footer_responsive_adv,hide_top_bar_on_mobile_header,qode-content-sidebar-responsive,qode-child-theme-ver-1.0.0,qode-theme-ver-10.1.1,wpb-js-composer js-comp-ver-5.4.7,vc_responsive

Novedades y Cambios en el nuevo Reglamento Europeo de Protección de Datos

El 25 de mayo de 2018 es el comienzo de la aplicación efectiva del Reglamento General de Protección de Datos (RGPD) que será de obligado cumplimiento.
En nuestro país se está tramitando, además, una nueva Ley Orgánica de Protección de Datos (LOPD) para facilitar la aplicación del RGPD y definir con mayor precisión algunos de sus aspectos.

¿Quién está obligado a cumplir el RGPD?

Todas las personas deberán cumplir el RGPD si recogen, graban, conservan, consultan o de cualquier otra forma tratan información con la que se pueda identificar (directa o indirectamente) a una persona física determinada. Quedan fuera, eso sí, los tratamientos que efectúan las personas físicas en el ejercicio de sus actividades exclusivamente personales o domésticas.

Responsabilidad Activa

La responsabilidad activa supone un cambio radical en el enfoque de la protección de datos por parte de las organizaciones y exige una actitud consciente, diligente y proactiva con respecto a todos los tratamientos de datos de carácter personal que lleven a cabo.
En términos prácticos, este principio requiere que se analicen los datos que se tratan, las finalidades de los tratamientos y el tipo de operaciones de tratamiento que se llevan a cabo.
A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrar el cumplimiento ante los interesados y ante las autoridades de supervisión.

Privacidad desde el Diseño y por Defecto

Buena parte del RGPD es muy similar a la normativa anterior, pero ahora se incorporan novedades importantes como el de la privacidad desde el diseño y por defecto. Los obligados por la normativa deberán pensar en términos de protección de datos desde el mismo momento en que se conciba un producto o un servicio que implique el tratamiento de datos personales.

Información a los Afectados

La información a los interesados, tanto con respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse siempre de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Con el RGPD Se deberán evitar las fórmulas especialmente farragosas y las que se limiten a incorporar remisiones a los textos normativos.

Consentimiento

Las novedades más importantes que trae el RGPD con respecto al consentimiento de los afectados son:

  • El consentimiento debe ser inequívoco, claro y distinguible.
  • Se deberá informar sobre cada finalidad del tratamiento de datos.
  • El consentimiento para el tratamientos de datos de carácter personal deberá prestarse de forma separada del consentimiento para aceptar las condiciones generales de un determinado producto o servicio.
  • Si los consentimientos obtenidos antes del RGPD no cumplen los puntos anteriores, para poder seguir llevando a cabo el tratamiento de datos, los responsables deberán obtener un nuevo consentimiento válido de los afectados, salvo que el tratamiento pueda ampararse en una base distinta de legitimación.

Derechos de los Ciudadanos

El RGPD recoge, reconoce y amplia los derechos que ya existían (ARCO: acceso, rectificación, cancelación y oposición) y también ha añadido nuevos derechos:

  • El derecho a la portabilidad – Permite a las personas obtener los datos que han proporcionado a una entidad/empresa/organización (responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica.
  • El derecho al olvido – Hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima.
  • El derecho a la limitación del tratamiento –  La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento en determinados supuestos, como cuando ejercita su derecho de oposición o cuando el tratamiento es ilícito.

Quiebras de Seguridad

Con la aplicación del RGPD las organizaciones tienen el deber de informar en un plazo de 72 horas que han sufrido una quiebra de seguridad, tanto a las autoridades competentes como a los usuarios afectados.
Por quiebra de seguridad debe entenderse cualquier incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos de carácter personal transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Una quiebra de seguridad podrá consistir tanto en un “hackeo” como en la pérdida de un ordenador portátil o en el borrado accidental de registros.

Delegado de Protección de Datos

En determinados supuestos las organizaciones deberán contar con un Delegado de Protección de Datos (DPO).
El DPO se encargará de informar y asesorar a los empleados sobre sus obligaciones; supervisar el cumplimiento de la legislación; auditar, formar y actuar como un punto de contacto para las solicitudes de las personas con respecto al procesamiento de sus datos personales y el ejercicio de sus derechos, entre otras funciones.

Sanciones

El nuevo reglamento ha incrementado la cuantía de las sanciones de manera significativa para quienes no cumplan. La Unión Europea ha sido pionera en imponer un criterio muy protector en privacidad y el uso de datos personales, y quiere que los actores implicados sigan esos principios.
Las empresas pueden recibir multas de hasta el 4% de su facturación global anual o 20 millones de euros por las infracciones más graves, escalonándose las demás sanciones según la gravedad de las infracciones.

Conclusión

El RGPD fortalece los derechos de los ciudadanos y acentúa la responsabilidad de quienes llevan a cabo tratamientos de datos de carácter personal.
Por eso, es fundamental que antes del 25 de mayo las organizaciones y demás sujetos obligados por el RGPD analicen detenidamente los tratamientos de datos de carácter personal que lleven a cabo y adopten todas las medidas necesarias para adecuar su actividad a la nueva normativa.

Pedro Morán
Consultor
Experto en protección de datos y nuevas tecnologías



Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestras condiciones de uso, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies