A partir del próximo 25 de mayo del 2018 se aplicará el nuevo Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo del 2016. Por lo que, si eres responsable o encargado de tratamiento de datos, ya tendría que tenerlo todo preparado para poder adoptar las medidas necesarias y cumplir con las previsiones del RGPD en el momento en el que este se aplique.
Con el nuevo Reglamento se pretende proteger a los ciudadanos de actos malintencionados y de darles más autonomía en cuanto a sus datos. Así mismo, se busca que las empresas establezcan sistemas fiables que den lugar a una seguridad y un control de los datos personales de los clientes.
Hace falta destacar que la aplicación del Reglamento General de Protección de Datos será complementada con la nueva LOPD, y está previsto que las dos entren en vigor el mismo día.
Te proporcionamos los aspectos más relevantes a tener en cuenta a continuación:
Consentimiento para el tratamiento de datos
Tiene que haber una manifestación del interesado o una acción afirmativa que indique el consentimiento del mismo.
A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento implícito o por omisión, ya que se basan en la inacción.
Así mismo, este consentimiento podrá ser implícito cuando se deduzca una acción por parte del interesado como, por ejemplo, cuando se navega por una página web.
Las casillas para obtener el consentimiento se podrán seguir usando siempre que estas no estén premarcadas.
Aquellos tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD seguirán siendo legítimas siempre que cumplan con los requisitos mencionados anteriormente. El resto de casos tendrán que ser estudiados.
Cláusulas informativas
Las cláusulas informativas tienen que proporcionar a los interesados la base jurídica del tratamiento, el plazo de conservación y los criterios para su determinación.
La información tiene que darse de manera transparente, concisa, intel·ligible, de fácil acceso y con un lenguaje claro y sencillo. Así mismo, se tiene que facilitar por escrito, incluídos los medios electrónicos, completamente gratis.
Derecho al olvido y la portabilidad
Se trata de dos nuevos conceptos introducidos por el RGPD:
El derecho al olvido es la consecuencia de la aplicación del derecho a la eliminación de datos personales. Se trata de una manifestación de los derechos de cancelación o oposición aplicados en el entorno online.
El derecho a la portabilidad permite al interesado transmitir de forma directa los datos de un responsable a otro, sin necesidad de que sean transmitidos previamente al mismo interesado.
Encargado del tratamiento: Contratos de encargo
Los responsables deberán elegir encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, para que el tratamiento sea conforme con los requisitos del Reglamento.
De igual forma, los contenidos de los contratos de encargo deberán incluir una descripción detallada de los servicios prestados, transferencias internacionales de datos, medidas aplicadas, subcontrataciones, etc.
Todas las relaciones entre responsable y encargado se tienen que formalizar en un contrato o en un acto jurídico. Aquellos que sean anteriores a la aplicación del RGPD deberán modificarse y adaptarse.
Registro de actividades de tratamiento
Los responsables y encargados de tratamiento deben mantener un registro de operaciones de tratamiento donde se incluya un contenido mínimo como el nombre y datos del responsable, finalidades del tratamiento, etc. Se trataría del equivalente al actual ‘documento de seguridad’.
Medidas de seguridad
El RGPD establece que los responsables y encargados deben tener una responsabilidad activa, es decir, deben establecer las medidas técnicas y organizativas que garantizan un nivel de seguridad adecuado en función de los riesgos detectados. Se debe garantizar la confidencialidad, disponibilidad, integridad, y resiliencia.
Delegado de Protección de Datos
Se permite nombrar un Delegado de Protección de Datos (DPD) siempre que sea accesible desde cada establecimiento del grupo.
Este delegado será nombrado según sus calificaciones profesionales y su conocimiento de la legislación y la práctica de la protección de datos. Sin embargo, es necesario que este DPD tenga conocimientos jurídicos, así como conocimientos ajenos a los estrictamente jurídico, como en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD realiza su tarea.
Puedes consultar el Esquema de Certificación de Delegados de Protección de Datos publicado por la AEPD el pasado mes de julio en el que se establece el mecanismo de certificación para esta nueva figura.
Niveles de seguridad de los datos
En el RGPD se suprimen las categorías ‘básico, medio y alto’ establecidas en la LOPD y se crea la ‘categoría especial de datos’, dentro de la cual se incluyen los datos genéticos y los datos biométricos.
En LleidaPRO ayudamos a la pyme a cumplir con la LOPD y el nuevo Reglamento General de Protección de Datos de una manera práctica y sencilla.
Si necesita más información sobre el nuevo Reglamento, puede contactar con LleidaPRO haciendo click aquí.
