CIRCULAR INFORMATIVA DEL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS (RGPD)

CIRCULAR INFORMATIVA DEL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS (RGPD)

El 25 de Mayo es el último día para comenzar con la aplicación del nuevo Reglamento Europeo 679/2016.

Este nuevo Reglamento trae consigo una serie de cambios, que no podemos pasar por alto.

Estos cambios, son los más importantes que se han realizado en los últimos años, en cuanto a la protección de datos se refiere, y se hace con la firme intención de homogeneizar todas las normas vigentes en los Estados que componen la UE (Unión Europea).

De esta manera se considera que las garantías de control que tienen los ciudadanos sobre sus datos, se amplían favorablemente.

Cierto es que las autoridades nacionales no han dado mucha información ni tampoco muchas definiciones sobre cómo aplicar la nueva normativa, provocando de esta manera cierta incertidumbre entre las empresas.

Paralelamente a esto, en cuanto a la aplicación del RGPD a nivel europeo se refiere, es importante destacar que el Ministerio de Justicia ha aprobado un anteproyecto de nueva “LOPD”.

Este anteproyecto, se encuentra en el último trámite parlamentario para su publicación y entrada en vigor, por lo que aún no está disponible. Lo que si sabemos, es que complementará y aclarará algunos aspectos del RGPD.

Lo más seguro es que la nueva LOPD se apruebe el mismo día que entre en vigor el nuevo Reglamento.

Desde hace un tiempo, venimos analizando el nuevo reglamento europeo de protección de datos y podemos destacar sus aspectos más relevantes, que pueden afectar a nuestro servicio de consultoría.

Nuestro servicio de consultoría ha sido retocado con las nuevas obligaciones y está preparado para que antes de mayo de este año, tu despacho profesional cumpla al 100% con el RGPD.

  1. Aplicar el RGPD, ¿va a suponer más carga de trabajo para las empresas?

La verdad es que NO, aunque sí es cierto que el Reglamento supondrá un mayor compromiso por parte de las empresas con la protección de datos. Pero esto no significa que necesariamente suponga más carga de trabajo.

Partiendo de la base de que hoy en día llevamos una correcta gestión de la LOPD, podemos considerar la adaptación al RGPD como una continuación de las medidas que ya estamos aplicando.

 

  1. Nueva forma de obtener el consentimiento

Este es uno de los cambios más importantes del RGPD, ya que antes teníamos varias formas de obtener el consentimiento para el tratamiento de los datos y ahora solo se podrá obtener con una declaración clara o una acción positiva, que nos indique el acuerdo del mismo. Por lo tanto el consentimiento ha de ser expreso.

El consentimiento tácito o por omisión está prohibido.

Nuestro departamento técnico ya ha elaborado las nuevas cláusulas para obtener este consentimiento conforme al RGPD.

 

  1. Nuevas cláusulas de información

Las clausulas informativas y los avisos legales actuales, deben ser revisados y actualizados.

El RGPD ha previsto que se incluya en la información que se les proporciona a los interesados, una serie de cuestiones que junto con la Directiva del 95 y otras muchas leyes nacionales de transposición, no eran obligatorias necesariamente. Algunos ejemplos pueden ser,  la base jurídica de tratamiento, el plazo de conservación de los datos, etc.

Toda esta información tendrá que proporcionarse de forma concisa, transparente, de fácil acceso, inteligible, con un lenguaje claro y sencillo, por escrito u otros medios y de manera GRATUITA.

Nosotros pondremos a tu disposición, estos avisos legales donde se cumple con el deber de informar tal y como lo exige el RGPD.

 

  1. Nuevos contratos con terceros. Los encargados de Tratamiento.

Este punto es fundamental, no solo por ser uno de los aspectos que más cambios ha sufrido, sino porque como asesor o gestor, tiene especial importancia ya que afecta de manera directa.

Se tienen que actualizar y revisar los anteriores contratos de acceso a los datos por parte de terceros del Art. 12 de la LOPD, y sustituirlos por los nuevos contratos entre el encargado del tratamiento y el responsable.

Este nuevo contrato se ha ampliado en su contenido y deberá incluir entre otros muchos aspectos:

  • Descripción detallada de los servicios prestados y la naturaleza o finalidad del tratamiento.
  • Medidas aplicadas.
  • La duración
  • El tipo de datos personales, categoría de interesados
  • Derechos y obligaciones del responsable
  • Posibles transferencias internacionales de datos.
  • Subcontrataciones previstas
  • ¿Qué pasa cuando finaliza el contrato?
  • Etc

Los nuevos contratos (que están adaptados a la RGPD) deberán volver a ser firmados con todos los terceros.

Este contrato está redactado por nuestros consultores y nuestro departamento de consultoría podrá facilitártelo cuando lo necesites.

  1. Niveles de Seguridad de los Datos

Dejan de diferenciarse los niveles de los datos.

Hasta ahora como bien sabéis se diferenciaban en Básico, Medio, y Alto. Pero ahora eso cambia y pasa a clasificarse simplemente en SENSIBLES y NO SENSIBLES.

Además, dentro de los datos SENSIBLES, el RGPD incluye dos nuevas categorías:

  • Datos Genéricos
  • Datos Biométricos

 

  1. Medidas de Seguridad: CAMBIOS.

Tal y como se puede contemplar en el R.D.1720/2007 las medidas de seguridad específicas ya no se establecen y aparece el concepto de RESPONSABILIDAD PROACTIVA, que se refiere a la prevención de las organizaciones que tratan datos.

Las empresas, deben aplicar unas medidas necesarias que garanticen criterios de seguridad como pueden ser: la integridad, la confidencialidad, disponibilidad y resiliencia.

Estas medidas PROACTIVAS… ¿Cuáles son?

  • Protección de datos desde el diseño (PDdD)
  • Protección de datos por defecto (PDpD)
  • Medidas de seguridad (técnico-organizativas)
  • Mantenimiento de un registro de actividades de tratamiento.
  • Análisis de registro y evaluaciones de impacto (siempre y cuando el tratamiento presente un alto riesgo específico para los derechos y libertades de los interesados).
  • Nombramiento de un DPO (Delegado de Protección de Datos)
  • Notificación de violaciones de la seguridad de datos o brechas de seguridad.

 

  1. Registro de Ficheros.

Desaparece como tal la actual inscripción de ficheros ante la Agencia de Protección de Datos (AEPD).

Se obliga al Responsable de Tratamiento (RT) y al encargado de Tratamiento (ET) a llevar un registro de actividades de tratamiento, que tenga un contenido mínimo, equivalente a nuestro actual “Documento de Seguridad”.

  1. Derecho de Portabilidad y Derecho al Olvido

Además de los ya conocidos Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), el RGPD ha introducido nuevos conceptos como son:

  • El Derecho a la Portabilidad, que le permite al interesado recuperar sus datos de forma estructurada para trasladárselos a otro responsable.

 

  • El Derecho al Olvido, que consiste en la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet.

 

  1. EL DPD

El Delegado de Protección de Datos, también conocido por sus siglas DPD, es un concepto que ha generado mucho ruido entre las empresas pero lo cierto es que no está claro quién será el encargado de nombrar a esa figura y para quién quedaría como una simple recomendación en función del tipo de datos personales que se traten. Influye el volumen de los datos tratados y/o el tamaño de la empresa.

La designación de este delegado, se tendrá que hacer siempre que el tratamiento lo esté llevando una autoridad u organismo público (excepto tribunales cuando actúen en su función jurisdiccional).

Las principales actividades tendrán que consistir en el tratamiento a gran escala de categorías especiales de datos personales.

Desde El Club del Asesor, realizamos un análisis de riesgo previo para poder evaluar cada entidad y determinar la necesidad de nombrar un DPD.

El Delegado de Protección de Datos será designado atendiendo a sus cualidades profesionales, pero en particular a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos.

Podrá formar parte de la plantilla de la entidad, o simplemente realizar sus funciones como externo mediante el típico contrato de prestación de servicios.

  1. EIPD

La Evaluación del Impacto, es otra novedad que trae la RGDP y se puede definir como el análisis de los riesgos que un servicio o producto puede entrañar para la protección de datos de los afectados y, como consecuencia del análisis, la gestión de dichos riesgos mediante la adopción de las medidas que sean necesarias para la eliminación de los mismos.

Desde el Club del Asesor se evaluará, en base a un análisis del riesgo previo, si tu asesoría necesita esta evaluación de impacto para la privacidad.

Comparte este artículo

Deja un comentario