25 May Guía práctica de aplicación del nuevo Reglamento de Protección de Datos

Posted at 08:29h in LOPD by

Diariamente, nos vemos invadidos por publicaciones y noticias referentes a la entrada en vigor del nuevo Reglamento Europeo (RGPD), de algunas de las muchas novedades que trae, de las posibles sanciones por incumplirlo … Pero echaba en falta un resumen completo, práctico y aclaratorio que sirva de guía para la mayoría de empresas.

¿Por qué un nuevo reglamento a nivel europeo?

El objetivo que se busca con el nuevo Reglamento es armonizar la protección de los datos de carácter personal de las personas físicas y garantizar la libre circulación de estos datos entre los Estados de la Unión Europea.

Y se hace ahora por 2 motivos fundamentales:

  • Primero, por el incremento de intercambio de información entre países.
  • Y segundo, por la rápida evolución tecnológica y la globalización.

Principales novedades a modo de resumen

1. Adiós a la inscripción de los ficherosSe estable la obligación de elaborar un registro de actividad del tratamiento de datos que deberá estar a disposición de la Agencia Española de Protección de Datos (AEPD) en caso de solicitud, pero ya no será necesaria la inscripción de los ficheros.

2. Incorporación de nuevos derechos: 

Además de los derechos de acceso, rectificación, cancelación y oposición, ya existentes en la LOPD, incluye 3 nuevos derechos:

  • Derecho a la portabilidad de los datos.
  • A la limitación de tratamiento.
  • Derecho a no ser objeto de decisiones individuales automatizadas.

Y modifica el derecho a la cancelación de los datos, pasando a denominarse de supresión, y que incluye el concepto del derecho al olvido para los datos hechos públicos en Internet.

3. Se incorpora la figura del Delegado de Protección de Datos, pero no es obligatorio en todas las empresas. En este mismo post, desarrollo cuando es necesaria esta nueva figura.

4. Información y obtención del consentimiento

Ya no se admiten los consentimientos tácitos o por omisión. Por consiguiente, el silencio, las casillas premarcadas o la inacción no constituirán prueba de consentimiento.

Respecto a los menores de edad, el RGPD establece que el consentimiento será válido cuando tengan como mínimo 16 años. No obstante, el proyecto de ley de la Nueva LOPD, pendiente de aprobación, propone rebajar la edad a los 13 años.

5. Regulación de la relación entre los responsables y encargados de tratamiento: 

El nuevo Reglamento introduce nuevas obligaciones, tanto para los responsables como para los encargados de tratamiento. Dicha relación debe formalizarse mediante un contrato con unos requisitos mínimos.

6. Categorías especiales de datos: La LOPD establecía como datos especialmente protegidos:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Datos relativos a la salud
  • Datos relativos a la vida y orientación sexual

El Reglamento Europeo los denomina “Categorías especiales de datos”, e incorpora 2 nuevas tipologías de datos:

  • Datos genéticos
  • Datos biométricos que permitan la identificación unívoca de una persona

7. Desaparecen los niveles de seguridad de los ficheros (Básico, medio y alto): El RGPD no distingue entre niveles de seguridad, sino que especifica que se deben aplicar las medidas técnicas y organizativas apropiadas para cada tipo de tratamiento de datos.

8.Modificación de las sanciones: El RGPD establece un nuevo régimen de sanciones e infracciones:

Además, se incorpora el derecho del afectado a la indemnización por los daños y perjuicios sufridos.

¿Necesito designar un DPO (Data Protection Officer)?

El DPO o Delegado de Protección de Datos será la persona física o jurídica encargada de velar por el cumplimiento de la normativa de Protección de Datos de carácter personal.

Únicamente será obligatorio el nombramiento o designación del DPO en los siguientes supuestos:

  • Autoridades y organismos públicos, así como las organizaciones colegiales profesionales.
  • Responsables o encargados de tratamiento que tengan entre sus actividades principales operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala o que traten a gran escala categorías especiales de datos (salud, biométricos, genéticos, orientación sexual, etc …)

Principio de responsabilidad proactiva

El principio de responsabilidad proactiva conlleva que se apliquen determinadas medidas y procedimientos para verificar e implementar mejoras dentro del cumplimiento de la normativa:

  • Protección de datos desde el diseño y por defecto: Se debe enfocar el tratamiento de manera proactiva, es decir, desde el momento en que se empieza a diseñar el servicio que pueda implicar un tratamiento de datos de carácter personal y con anterioridad al inicio del tratamiento.

  • Análisis de riesgos del tratamiento de datos: Se debe realizar una valoración y análisis del riesgo de dicho tratamiento en función de:

    • Tipo de tratamiento que se va a realizar
    • Naturaleza de los datos
    • Número de interesados afectados
    • Cantidad y variedad de los datos

    En función del resultado de este análisis de riesgo, se establecerán las medidas de seguridad que se deben aplicar para cumplir con el RGPD.

  • Evaluación de impacto sobre la protección de datos: La evaluación de impacto se realizará con carácter previo a iniciar un tratamiento de datos de carácter personal que conlleve un alto riesgo para los interesados, como por ejemplo:

    • Tratamiento de categorías de datos especiales a gran escala.
    • Elaboración de perfiles en base a los cuales se toman decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente.

  • Notificación de violaciones de seguridad: Salvo que se estime que resulte improbable que exista riesgo para los derechos y libertades de los interesados, ante cualquier violación o quiebra de seguridad, se deberá notificar a la AEPD el fallo de seguridad en menos de 72 horas.

    • Si la violación entraña alto riesgo es obligado notificar también a los afectados.

    Entrada en vigor

    El Reglamento Europeo 2016/679 (RGPD), será de obligado cumplimiento en España a partir del 25 de mayo de 2018.

    En la actualidad, tenemos las siguientes normativas en materia de Protección de Datos en vigor:

    • Ley Orgánica 15/1999, de Protección de Datos de carácter personal (LOPD).
    • Real Decreto 1720/2007, Reglamento de desarrollo de la Ley Orgánica 15/1999 (RLOPD).

    Las citadas normativas van a ser sustituidas y derogadas por la nueva Ley Orgánica de Protección de Datos de Carácter Personal (Nueva LOPD), que actualmente se encuentra en fase de proyecto en las Cortes para su tramitación y aprobación.

    Please follow and like us:
    FACEBOOK
    fb-share-icon
    TWITTER
    Tweet
    LinkedIn
    Share
    Print page
    No Comments

    Post A Comment