Con esta guía abordaré los aspectos básicos que necesita cualquier empresa para adecuarse correctamente al Reglamento General de Protección de Datos.

Aplicación del RGPD

En España, las empresas deberán cumplir el RGPD antes de mayo de 2018Su adaptación se hará mediante la nueva LOPD que aún se encuentra en trámite parlamentario.

¿Quién puede realizar el tratamiento de los datos?

En relación a este aspecto el RGPD no introduce cambios. Se sigue necesitando acreditar un interés legítimo para realizar el tratamiento de los datos. Este existe, por ejemplo, en casos de ejercicio de la facultad de control del empresario sobre los trabajadores o en los tratamientos de datos con fines de videovigilancia.

Obligaciones del responsable del tratamiento

Consentimiento

Desaparece el consentimiento tácito. Ahora, según el RGPD, debe ser:

  • Inequívoco y explícito: manifestado de manera clara por el interesado.
  • Implícito: sólo en el caso de que, por ejemplo, una página web o correo electrónico nos especifique que en el caso de no marcar la casilla recibiremos información comercial.
  • Menores: en cuanto al consentimiento en menores de edad se requieren unas precauciones especificas.

Deber de información

El nuevo Reglamento Europeo, exige condiciones adicionales:

  • La información debe facilitarse por escrito, de una manera concisa, con un lenguaje sencillo y que sea de fácil acceso.
  • Es imprescindible facilitar también información a los interesados sobre el uso que se va a dar a sus datos. O si se van a realizar transferencias internacionales.

Delegado de Protección de Datos

El responsable del tratamiento debe designar un DPO (cuando sea preciso).

Registro de actividades

Responsables y encargados deberán mantener un registro de operaciones de tratamiento que contenga la información que establece el RGPD.

Análisis de riesgos

Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo.

Aquí dispones de una herramienta gratuita elaborada por la AEPD.

Notificación de brechas de seguridad

Una de las principales novedades que establece esta normativa europea es la obligación por parte de los responsables del tratamiento de notificar a los afectados y a las Autoridades de control las violaciones de seguridad de los datos que se produzcan. Y además en un plazo de 72 horas.

Evaluación de Impacto

Consiste en la realización de un análisis de los riesgos que un producto o servicio puede suponer para la protección de datos de los afectados. Y, como consecuencia de ese análisis, gestionar dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

Privacidad desde el diseño y por defecto

Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.

Nuevos derechos de RGPD

En el Reglamento europeo de Protección de Datos se mantienen los derechos ARCO (acceso, rectificación, cancelación y oposición) y se añaden otros derechos específicos como:

Derecho al olvido

El Derecho al olvido se define como el derecho a impedir la difusión de información personal a través de Internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.

Derecho a la portabilidad

El derecho a la portabilidad de los datos se trata del derecho a que los datos personales de un ciudadano europeo, recogidos en archivos automatizados, puedan serle entregados a él o traspasados, si así lo solicita, a otra empresa en un formato estructurado, inteligible y automatizado.

Infracciones y sanciones

En el Reglamento General de Protección de Datos se establece un régimen sancionador con sanciones económicas auténticamente disuasorias, pudiendo alcanzar incluso el 4% del volumen anual de facturación de una compañía o los 20 millones de euros en los casos más graves.

Preguntas frecuentes

¿Qué ocurre con los consentimientos tácitos obtenidos antes del RGPD?

Con el RGPD desaparecen los consentimientos tácitos, lo que supone que este tipo de consentimientos no son acordes con la nueva norma.

Estos consentimientos deberán adaptarse a los requisitos establecidos por el mismo, de manera que debe encontrarse otra forma de legitimación para estos tratamientos:

  • Mediante una nueva solicitud de consentimiento acorde con el RGPD.
  • Mediante la aplicación de algún otro supuesto de legitimación, como podría ser la regla del interés legítimo.

¿En qué consiste el análisis de riesgo al que se refiere el RGPD?

Consiste en una valoración que deben realizar responsables y encargados del tratamiento de los riesgos asociados a los tratamientos que realizan con el fin de determinar qué medidas aplicar y cómo hacerlo.

Este análisis del riesgo variará en función de:

  • Tipos de tratamiento.
  • Naturaleza de los datos.
  • Número de interesados afectados.
  • Cantidad y variedad de tratamientos que realice una misma organización.

¿Sigue vigente el modelo de medidas de seguridad de la LOPD?

El esquema de medidas de seguridad previsto en la LOPD no seguirá siendo válido de forma automática.

En algunos casos los responsables podrán seguir aplicando las mismas si de los resultados del análisis de riesgos previo se concluye que las medidas son realmente las mejores para ofrecer un nivel de seguridad adecuado. En otras ocasiones será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas.

¿Qué obligaciones específicas exige el RGPD a los encargados de tratamiento?

Los encargados de tratamiento deben:

  • Mantener un registro de actividades de tratamiento.
  • Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
  • Designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.

Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.

¿Son válidos los contratos con encargados de tratamiento anteriores al RGPD?

Los contratos con encargados de tratamiento realizados con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

¿En qué consiste el principio de transparencia e información a los afectados?

Este principio supone que debe informarse a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos. La información deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

El RGPD añade la siguiente información para facilitar a los interesados:

  • Base jurídica del tratamiento
  • Intención de realizar transferencias internacionales
  • Datos del Delegado de Protección de Datos (si lo hubiere)
  • Elaboración de perfiles.

Cumple el nuevo Reglamento Europeo

Guía para cumplir el RGPD
4.8 (96.25%) 16 votos