El nuevo Reglamento de Protección de Datos en 10 claves

Un año es el tiempo del que disponen las empresas para adaptarse al nuevo Reglamento General de Protección de Datos (RGPD) que entró en vigor en 2016 y que comenzará a aplicarse a partir de mayo de 2018. Trasladar el nuevo Reglamento al día a día de una organización no sólo implica llevar a cabo gestiones preventivas relacionadas con la privacidad y la seguridad, sino también, acreditar el cumplimiento y la gestión de responsabilidades, por lo que la Agencia Española de Protección de Datos (AEPD), recomienda empezar a implementar estas normas cuanto antes.

Si anteriormente el foco estaba puesto en las infraestructuras, ahora la normativa europea presta especial atención a las personas, asentándose en tres principios fundamentales:

Responabilidad: las organizaciones deben ser capaces de demostrar que han adoptado todas las medidas necesarias para tratar los datos personales como exige la norma.

Protección de datos por defecto y desde el diseño: las medidas se adoptarán desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos.

Transparencia: los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos.

A continuación destacamos los 10 puntos fundamentales del RGPD:

1. FINALIDAD

El Reglamento establece la necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que lleva a cabo la empresa.  Además, se exige que si el responsable de la gestión planea en un futuro usar dicha información para otro fin, deberá informar a los usuarios.

La identificación de finalidades y base jurídica tiene exigencias adicionales en los casos en que se traten datos de especial protección como los relacionados con salud, ideología, religión o pertenencia étnica. El tratamiento de estos datos está, con carácter general, prohibido y sólo podrá llevarse a cabo si es aplicable alguna de las excepciones previstas en el Reglamento.

2. CONSENTIMIENTO

El nuevo texto obliga a modificar las políticas de privacidad en lo referente a la recogida de datos personales. El consentimiento deberá ser libre, específico, informado e inequívoco mediante declaración o clara acción informativa. Los consentimientos conocidos como “tácitos”, basados en la inacción de los interesados, dejarán de ser válidos con la aplicación del RGPD.

3. INFORMACIÓN

El Reglamento obliga a ofrecer información más amplia que la actualmente recogida por la Ley Orgánica de Protección de Datos (LOPD). Precisa del mismo modo, que esta información se proporcione de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

4. REGISTRO DE ACTIVIDADES

Deberá establecerse y documentarse un procedimiento por el cual los responsables del tratamiento llevarán un registro de las actividades efectuadas en la materia. Dicho registro contendrá información relativa al tipo de datos personales que se recogen, los destinatarios, los plazos previstos para la supresión, la finalidad del tratamiento y las medidas técnicas y de seguridad adoptadas por la organización, entre otros aspectos.

5. BRECHAS DE SEGURIDAD

Toda violación de seguridad que se produzca y esté relacionada con datos personales deberá ser notificada a la autoridad de control sin dilación indebida y en casos graves a los afectados estableciéndose el plazo máximo de 72 horas. El RGPD establece,  a su vez, la obligación de mantener un registro de todos los incidentes de seguridad, sean o no objeto de notificación.

6. EVALUACIONES DE IMPACTO

La norma exige implementar una metodología que permita evaluar los riesgos en el tratamiento de datos personales y adoptar las acciones pertinentes para mitigar o eliminar dichos riesgos.

7. DELEGADO DE PROTECCIÓN DE DATOS

Será necesario designar a un delegado de protección de datos (DPD) externo o interno en función del volumen de datos gestionados o por las categorías especiales de éstos. Esta figura se encargará de supervisar y asesorar al encargado del tratamiento, así como de ejercer de nexo con la autoridad de control. El texto especifica también, los criterios para su designación, su posición dentro de la organización y sus funciones.

8. CERTIFICACIONES

Se prevé la creación de sellos y certificaciones de cumplimiento que permitan acreditar el respeto al RGPD por parte de las empresas y organizaciones.

9. TRANSFERENCIA INTERNACIONAL

El nuevo Reglamento mantiene el modelo de transferencias internacionales ya existente, pero amplía el catálogo de instrumentos para ofrecer garantías suficientes.

10. RÉGIMEN SANCIONADOR

El régimen sancionador del RGPD prevé el incremento del importe de las cuantías, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual de la empresa.

[:]