PRINCIPALES CAMBIOS DEL NUEVO REGLAMENTO GENERAL EN PROTECCIÓN DE DATOS
Reglamento UE 2016/679, de 27 de abril de 2016
adapte su empresa al nuevo RGPD de forma personalizada y con la profesionalidad que nos caracteriza “una solución para cada empresa”
Con la aprobación del Nuevo Reglamento Europeo de Protección de Datos, se ha abierto un nuevo marco normativo en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
A pesar que la entrada en vigor fue el 25 de mayo de 2016, su cumplimiento sólo será obligatorio transcurridos dos años desde dicha fecha, es decir, el 25 de mayo de 2018. En España, la Agencia Española en Protección de Datos, obliga a mantener el actual sistema hasta dicha fecha.
Dada la complejidad y la imprecisión que pueda provocar la coexistencia, por el momento, de dos normativas -la europea y la nacional- es fundamental contar con un asesor competente y experto en la materia, a la hora de orientar y asesorar de manera precisa y diligente a las empresas con el fin de estar preparados para afrontar los cambios.
El RGPD está orientado a reforzar la seguridad jurídica y aumentar la garantía de los derechos de los ciudadanos, que deben poder disponer de un control más efectivo de sus propios datos personales.
SETEMCAT les asesora sobre los nuevos principios y obligaciones que van a impactar más directamente en los procesos de adecuación al nuevo Reglamento General de Protección de Datos (RGPD).
El Reglamento va a permitir armonizar las actuaciones y niveles de protección, estableciendo un marco común para la salvaguarda del derecho a la protección de datos personales, por parte de todos los estados miembros, que debe cumplirse de manera uniforme en toda la UE.
Todos los países de la UE están afectados, pero no solo a nivel de países, sino también de sectores de actividad. Por lo consiguiente, las empresas, profesionales y entidades afectadas deberán revisar y adecuar sus protocolos en materia de protección de datos a los nuevos requerimientos del RGPD.
NUEVOS PRINCIPIOS
- Principio de transparencia y minimización en relación a las obligaciones de información. Los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos.
- Principio de responsabilidad (accountability). Será necesario implementar mecanismos que permitan acreditar que se han adoptado todas las medidas necesarias para tratar los datos personales de acuerdo con la norma, desarrollando en su caso, nuevas políticas, procedimientos, controles, etc. Se establece un sistema de gestión proactivo.
- Principios de protección de datos por defecto y desde el diseño. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos, como regla y desde el origen.
NUEVAS OBLIGACIONES PARA EMPRESAS, ADMINISTRACIONES Y OTRAS ENTIDADES
- Aplicación del concepto “Ventanilla Única” Los usuarios interesados dispondrán de una única ventanilla para efectuar trámites relativos a la protección de datos, aunque estos afecten a autoridades en la materia, de otros estados miembros.
En el mismo sentido, las empresas multinacionales tendrán como interlocutora a una sola autoridad de control nacional: la del establecimiento principal de la entidad.
- Nuevas notificaciones a la Autoridad de Control: Se establecen nuevas notificaciones a la Autoridad de Control con el objetivo de controlar de forma más exhaustiva el tratamiento de los datos.
Será necesaria una autorización previa para determinados tipos de tratamiento.
Las BRECHAS DE SEGURIDAD deberán ser comunicadas a las autoridades de control y, en casos graves, a los afectados tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
- Creación de la figura del Delegado de Protección de Datos (DPD). En ciertas ocasiones, será obligatorio designar un Delegado de Protección de Datos (DPD), ya sea interno o externo, que asista a las organizaciones en el proceso de cumplimiento normativo. Dada la complejidad de la nueva norma, será muy recomendable la presencia de esta figura en la mayoría de organizaciones.
- Obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto sobre la privacidad. En ciertos casos, se deberán analizar los riesgos específicos que supone el tratamiento de ciertos datos de carácter personal, evaluando el impacto que puedan generar sobre los usuarios y previendo las medidas para minimizar o eliminar dichos riesgos.
- Obligación de registrar documentalmente las operaciones de tratamiento. Desaparece la obligación de inscribir los ficheros. La inscripción de los ficheros se verá sustituido por un control interno o un inventario de las operaciones de tratamiento de datos que se realicen, quedando a disposición de la Autoridad de Control
- Modificación de la cuantía de las sanciones.Se establecen nuevos límites en cuanto a las sanciones que podrán llegar hasta 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio anterior.
- Establecimiento de obligaciones para nuevas categorías especiales de datos (datos sensibles, biométricos, genéticos, etc.). Se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biomé Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
- Designación del encargado de tratamiento. El encargado de tratamiento deberá ser una persona competente y aportar suficientes garantías para el cumplimiento normativo.
- Garantías adicionales para las transferencias internacionales de datos: Se establecen una serie de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la Unión Europea.
- Sellos y certificaciones: Se prevé que se creen sellos y certificaciones de cumplimiento que permiten acreditar la Accountability por parte de las organizaciones.
NUEVOS DERECHOS PARA LOS CIUDADANOS
- Mayor transparencia e información. Las organizaciones, deberán proporcionar mayor información y de un modo más inteligible, completo y sencillo, en lo relativo al tratamiento de los datos personales, con el fin de favorecer la toma de decisiones por parte del interesado. Los menores de edad siguen manteniendo una consideración especial.
- Consentimiento explícito. El consentimiento tácito utilizado en numerosas ocasiones por muchas organizaciones no será admitido como una forma de aprobación por parte del interesado. El consentimiento para poder tratar datos de carácter personal debe ser explícito, inequívoco, libre y revocable y deberá darse mediante un acto voluntario afirmativo claro.
- Derecho al olvido. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
- Derecho a la limitación del tratamiento. Cuando existan controversias sobre la licitud en el tratamiento de los datos personales, el interesado podrá solicitar el bloqueo temporal del tratamiento de sus datos hasta la resolución.
- Portabilidad de los datos. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
- Indemnizaciones. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.
CONCLUSIÓN
No obstante lo anterior, aún EXISTEN MUCHOS ASPECTOS PENDIENTES DE DESARROLLO Y CONCRECIÓN. Los Estados Miembros, las autoridades de control, el Comité Europeo de Protección de Datos y la Comisión deberán precisar multitud de elementos que aparecen en el RGPD demasiado ambiguos o inconcretos.
En todo caso, las disposiciones contenidas en el Reglamento son directamente aplicables en cada uno de los Estados Miembros, sin necesidad de trasposición y obliga a las empresas privadas e instituciones públicas a afrontar un importante proceso de readaptación normativa.
Sin embargo, el RGPD no deroga automáticamente la LOPD y su Reglamento de desarrollo. Simplemente desplaza estas en la medida en que resulten incompatibles con él. En aquellos ámbitos en que dicha incompatibilidad no se produzca, se prevé que coexistan ambas normativas, lo que hace presentir numerosos problemas prácticos e interpretativos.
El proceso de readaptación no es técnicamente fácil, por lo que será importante para las empresas contar con un asesoramiento especializado que ofrezca suficientes garantías.
SETEMCAT adapta su empresa al nuevo RGPD de forma personalizada y con la profesionalidad que nos caracteriza
SETEMCAT, empresa certificada por la APCPD como Empresa Experta en Protección de Datoscon nº de certificación 2015101
