Claves del Reglamento Europeo de Protección de Datos

Protección de Datos: Novedades del RGPD con respecto a la LOPD

El RGPD entró en vigor el día 25 de mayo de 2016, aunque será aplicable a partir del 25 de mayo de 2018.
Estas son las principales novedades que establece la nueva norma en relación con el régimen de la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

1.Nuevos principios

a) Principio de responsabilidad (accountability)

Se exige una actitud consciente y diligente por parte de las empresas y la implementación de mecanismos que permitan acreditar que se han adoptado todas las medidas necesarias y adecuadas para tratar los datos personales como exige la norma.

b) Principios de protección de datos por defecto y desde el diseño

Este principio consiste en la implantación de políticas y medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, un nuevo producto o servicio que implique un tratamiento de datos.

c) Principio de transparencia

Los avisos legales y políticas de privacidad que se facilitan a los interesados deberán ser más simples e inteligibles, con un lenguaje claro y sencillo, y de fácil acceso. La información deberá proporcionarse por escrito y por medios electrónicos cuando sea apropiado.

2.Nuevas obligaciones para empresas, administraciones y otras entidades

a) Se introduce la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés). Sus funciones más importantes son la asesoría, supervisión y prevención de las operaciones de tratamiento de datos y sus respectivas auditorías.
Puede ser un empleado de la compañía o actuar mediante un contrato de prestación de servicios, y no está sometido a las instrucciones de ningún nivel de la empresa salvo el más alto nivel jerárquico.
A partir de 2018 y con la entrada en vigor del Reglamento, su designación será obligatoria en 3 casos:
Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, por su naturaleza, alcance o fines, requieran una observación habitual y sistemática de interesados a gran escala; o
Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

b) Documentación de los tratamientos. Para demostrar la conformidad con el RGPD, el responsable o el encargado del tratamiento deberá mantener registros de las actividades de tratamiento.

c) La evaluación del impacto relativa a la protección de datos. Será imprescindible realizar un análisis de los riesgos particulares de cada empresa. La aplicación del RGPD dependerá de las características de cada empresa, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

d) Comunicación de brechas de seguridad a las autoridades. Hasta ahora no era obligatorio informar a la autoridad cuando se producía una brecha, pero el nuevo reglamento indica que debe notificarse de la siguiente manera:
“Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente”.

d) Datos sensibles. A la lista que existía de datos sensibles (salud, origen racial, etc.) se suman otros nuevos como los datos genéticos, datos biométricos, las creencias filosóficas o la orientación sexual.

e) Sanciones. Se modifica sustancialmente el régimen sancionador de la actual LOPD. Dispone sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos, imponiendo multas de hasta 20 millones de euros o el 4% de su volumen de negocios total anual.

3.Nuevos derechos para los ciudadanos

Los responsables de tratamiento, deberán facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos, así como gratuito.

a) Consentimiento. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.

b) Derecho al olvido. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.

Los interesados tienen derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados.
Por tanto, cuando nos demos de baja en un servicio podremos solicitar el borrado definitivo de nuestros datos personales, excepto que exista alguna otra normativa que lo impida. También podremos solicitar a una página de Internet que elimine totalmente los datos que aparecen en su web sobre nuestra persona.

c) Portabilidad de los datos. Cualquier persona tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

d) Posibilidad de exigir indemnizaciones. El nuevo reglamento de protección de datos contempla que el responsable o el encargado del tratamiento, deba indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del Reglamento.

La Agencia Española de Protección de Datos (AEPD) ha publicado una serie de materiales para ayudar a las pymes a cumplir con el Reglamento europeo de Protección de Datos para que, durante este periodo transitorio, las pymes puedan conocer el impacto que va a tener el Reglamento en la forma en la que tratan datos y las medidas que deben adoptar: Materiales de la AEPD

Yamil Doval Dios
Sistemius

Publicaciones relacionadas

¿Puede acceder cualquier profesional sanitario a los datos de salud de mi historia clínica?

La AEPD continúa recibiendo reclamaciones por accesos indebidos de profesionales sanitarios a las historias clínicas de los pacientes sin legitimación alguna. Los profesionales sanitarios desconocen las consecuencias jurídicas graves que ...

Adaptación a la normativa de protección de datos: el reto de las empresas en 2021

La Covid 19 ha demostrado la vulnerabilidad que tiene la población global para defenderse frente a amenazas invisibles. Y, esa capacidad de defensa tan mermada guarda mucha relación, precisamente, con ...

Uso de software de manera ilegal

¿Si alguien usa mi software de manera ilegal puedo utilizar los datos que acreditan ese uso fraudulento? En caso de que no pueda ¿bastaría que incluya esto en mi página ...

Deja un comentario

PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: publicar comentarios en las publicaciones. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

Suscríbete a nuestro boletín informativo


PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: mantener una relación comercial y responder a los mensajes recibidos. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

Atendemos consultas en el ámbito jurídico-tecnológico

Ofrecemos asistencia telefónica y a través de Skype.

info@sistemius.com

654 585 144

Skype

PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: mantener una relación comercial y responder a los mensajes recibidos. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

¡Hola! ¿Puedo ayudarte?