NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Este nuevo Reglamento trae consigo los cambios más importantes que se han producido en materia de protección de datos en los últimos años, con el fin de homogeneizar todas las normativas vigentes en los Estados Miembros que componen la Unión Europea y con el objetivo de ampliar las garantías de control que sobre sus datos tienen los ciudadanos.Os informamos que el día 25 de Mayo del corriente año 2018 entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD), quedando sin efecto el Reglamento Europeo 679/2016 de Protección de Datos, que entró en vigor el día 25 de Mayo de 2016.

Los aspectos más importantes de este nuevo Reglamento son:

  • No va a suponer más carga de trabajo para las empresas, aunque sí mayor compromiso.
  • El consentimiento debe ser expreso, prohibiéndose el consentimiento tácito o por omisión.
  • La información que se proporciona al interesado debe ser concisa, transparente, inteligible, de fácil acceso, con un lenguaje claro y sencillo, por escrito u otros medios y de forma gratuita.
  • Uno de los aspectos que sufre más cambios, tanto para los responsables como para los encargados del tratamiento, son los contratos con terceros. Se deben revisar y actualizar los anteriores contratos de acceso a datos por cuenta de terceros y sustituirlos por los nuevos contratos entre el responsable y el encargado del tratamiento.

Este contrato se amplía en su contenido y necesariamente deberá incluir, entre otros aspectos: descripción detallada de los servicios prestados y la naturaleza o finalidad del tratamiento, medidas aplicadas, duración, tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable, posibles transferencias internacionales de datos, subcontrataciones previstas, qué pasa cuando se finaliza el tratamiento, etc.

Por ello, será obligatorio volver a firmar con todos los terceros los nuevos contratos adaptados al RGPD.

  • Los niveles de los datos dejan de diferenciarse, como hasta ahora, en básico, medio, alto, para aplicar las correspondientes medidas de seguridad, pasando a clasificarse como datos SENSIBLES y NO SENSIBLES. En los datos SENSIBLES, se incluyen dos nuevas categorías; datos genéticos y datos biométricos.
  • Ya no se establecen medidas de seguridad específicas, apareciendo el concepto de RESPONSABILIDAD PROACTIVA, que hace referencia a la prevención por parte de las organizaciones que tratan datos. Las empresas deberán aplicar las medidas necesarias que garanticen criterios de seguridad como confidencialidad, integridad, disponibilidad y resiliencia.

Las medidas de seguridad PROACTIVAS son:

  • Protección de datos desde el diseño.
  • Protección de datos por defecto.
  • Medidas de seguridad (técnico organizativas).
  • Mantenimiento de un registro de actividades de tratamiento.
  • Análisis de riesgos y evaluaciones de impacto (cuando sea probable que el tratamiento presente un alto riesgo específico para los derechos y libertades de los interesados).
  • Nombramiento de un delegado de protección de datos (solo en determinados supuestos).
  • Notificación de violaciones de la seguridad de los datos o brechas de seguridad.
  • Desaparece la actual inscripción de ficheros ante la Agencia de Protección de Datos y se obliga al responsable de tratamiento y al encargado de tratamiento a llevar un registro de actividades de tratamiento con un contenido mínimo que sería el equivalente al actual “Documento de Seguridad”.
  • Además de los ya conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), se introducen nuevos conceptos como el derecho al olvido (manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet) y derecho a la portabilidad (permite al interesado recuperar sus datos de forma estructurada para trasladarlos a otro responsable).
  • Todavía no está claro quién tendrá la obligación de nombrar un Delegado de Protección de Datos y para quién quedaría como una simple recomendación en función del tipo de datos personales que se traten, influyendo por el tamaño de la empresa o el volumen de datos tratados.

Se tendrá que designar un delegado de protección de datos siempre que:

  • El tratamiento lo lleve a cabo una autoridad u organismo público (excepto tribunales cuando actúen en su función jurisdiccional).
  • Las actividades principales consistan en operaciones que requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales.
  • El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales y, en particular, a su conocimientos especializados en Derecho y la práctica en materia de protección de datos. Podrá formar parte de la plantilla de la entidad o realizar sus funciones como externo mediante un contrato de prestación de servicios.
  • Otra de las novedades de este nuevo Reglamento es la Evaluación del Impacto. Es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

En conclusión, la correcta implantación y cumplimiento de la nueva normativa en materia de protección de datos ya no va a depender de formales obligaciones e inamovibles medidas de seguridad y protocolos, sino que se requerirá de una constante proactividad e implicación por parte del responsable del fichero que conlleva necesariamente un asesoramiento inmediato y constante.

 

Compartir

Alejandro López-Royo