El Reglamento General de Protección de Datos (RGPD) sustituye a la LOPD. Este nuevo Reglamento entrará en vigor el próximo 24 de mayo de 2018.
Se introducen nuevos elementos como el derecho al olvido y el derecho a la portabilidad. Otro de los aspectos esenciales del Reglamento es que se basa en el análisis de los riesgos, lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren que están en condiciones de cumplir con los principios, derechos y garantías que se establecen.
Así pues el Reglamento prevé las siguientes novedades:
- Protección de datos desde el diseño
- Protección de datos por defecto
- Mantenimiento de un registro de tratamientos
- Realización de evaluaciones de impacto sobre la protección de datos
- Nombramiento de un delegado de protección de datos, en algunos casos
- Notificación de violaciones de la seguridad de los datos a la AEPD e incluso a los afectados
Hay diferentes aspectos a tener en cuenta, de los cuales destacamos los siguientes:
1. Consentimiento e información
El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. El consentimiento no puede deducirse del silencio o de la falta de acción de los ciudadanos. Con carácter general las empresas deberán revisar sus avisos de privacidad para incorporar las exigencias del Reglamento.
2. Evaluaciones de impacto sobre la protección de datos
El Reglamento supone un más amplio compromiso de las organizaciones, públicas o privadas, con la protección de datos como la evaluación de impacto y la consulta a autoridades de supervisión. Por ello, es necesario que todas las organizaciones que traten datos realicen un análisis de riesgos de sus tratamientos de datos para poder determinar qué medidas deben aplicar y cómo hacerlo.
La realización de evaluaciones de impacto sobre la protección de datos, aplicables de forma obligatoria en ciertos tratamientos, tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo mitigar o eliminar los riesgos que un tratamiento de datos plantea para los interesados.
3. Delegados de protección de datos
El Reglamento requiere que los delegados de Protección de Datos (DPO) sean nombrados en función de sus calificaciones profesionales, especialmente, de su conocimiento en materia de protección de datos, y de su capacidad para el desarrollo de sus funciones.
Sólo serán obligatorios en determinados casos.
4. Relación entre responsables y encargados del tratamiento
El Reglamento describe un contenido mínimo para los contratos de encargo de tratamiento que excede de las previsiones contempladas en la vigente LOPD y que deberán redactarse de nuevo.
Desde XTERNA SOLUCIONES EN OUTSOURCING, SLP, nos ponemos a su disposición para el asesoramiento y puesta en práctica de las nuevas obligaciones en la materia.
Para terminar, le animamos a contactar con nosotros para una revisión de auditoría sin costo que le permitirá saber si usted cumple con el RGPD.
Escrito por: Esperanza Jordà.- Abogado especialista en Protección de Datos y Nuevas Tecnologías. Encuentre su Linkedin aquí.