Novedades sobre el Nuevo Reglamento de Protección de datos

A partir del 25 de mayo de este año será obligatorio el cumplimiento del Reglamento General de Protección de Datos (RGPD) que entró en vigor en 2016.

Este nuevo Reglamento no deroga la LOPD. Ambas normativas coexistirán siempre que no haya incompatibilidad.

Habrá que implementar mecanismos que acrediten que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma.

Las empresas deben demostrar que cumplen las exigencias, lo cual obligará a desarrollar nuevas políticas y controles. El nuevo reglamento requiere que las empresas analicen qué datos tratos tratan, con qué finalidad y qué tipo de operaciones de tratamiento llevan a cabo.

Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos, como regla y desde el origen.

Los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos.

Nuevas obligaciones para empresas

  • Designar un Delegado de Protección de Datos (DPO), interno o externo, que asista a las organizaciones en el proceso de cumplimiento normativo. No es obligatorio en todas las empresas pero la complejidad de la nueva norma hace recomendable esta figura.
  • Realizar  EVALUACIONES DE IMPACTO SOBRE LA PRIVACIDAD para analizar los riesgos específicos que supone tratar ciertos datos de carácter personal  y  prever medidas para mitigar o eliminar dichos riesgos.
  • Las BRECHAS DE SEGURIDAD deberán ser comunicadas a las autoridades de control a los afectados, estableciéndose el plazo máximo de 72 horas.
  • Se amplían los datos especialmente protegidos, DATOS SENSIBLES incluyendo ahora los datos genéticos y biométricos incluyendo en esta categoría las infracciones y condenas penales, aunque no las administrativas.
  • La LABOR del encargado del tratamiento se endurece y por lo tanto esta figura tiene que aportar garantías de cumplimiento normativo.
  • GARANTÍAS ADICIONALES PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS.
  • SELLOS Y CERTIFICACIONES: Se prevé que se creen sellos y certificaciones de cumplimiento que permiten acreditar el cumplimiento por parte de las organizaciones.
  • DESAPARECE LA OBLIGACIÓN DE INSCRIBIR LOS FICHEROS, que se sustituye por un control interno y, en algunos casos, un inventario de las operaciones de tratamiento de datos que se realicen.
  • SANCIONES: aumenta la cuantía de las sanciones por incumplimiento de la norma para incrementar el carácter disuasorio, pensando en las grandes empresas tecnológicas y de telecomunicaciones. Ahora las sanciones pueden llegar a los 20 millones de euros o el 4% de la facturación global anual).

Nuevos derechos para los ciudadanos

  • TRANSPARENCIA e INFORMACIÓN. Las organizaciones, al tratar datos personales, deben proporcionar mayor información y de un modo más inteligible, completo y sencillo, lo que favorecerá la toma de decisiones por el ciudadano. Se tiene una especial consideración con los menores de edad en este punto.
  • CONSENTIMIENTO. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
  • DERECHO AL OLVIDO. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
  • DERECHO A LA LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
  • PORTABILIDAD DE LOS DATOS. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
  • DENUNCIAS. Se podrán presentar denuncias a través de asociaciones de usuarios.
  • INDEMNIZACIONES. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.
  • El responsable del fichero podrá establecer un CANON a la contestación de los ejercicios del derecho de acceso, teniendo en cuentas los costes administrativos que ello le suponga.

El proceso de adaptación a la nueva normativa no es técnicamente fácil, por lo que será importante para las empresas contar con un asesoramiento especializado que ofrezca suficientes garantías.