ENTRADA EN VIGOR DEL NUEVO REGLAMENTO GENERAL PROTECCIÓN DE DATOS A NIVEL EUROPEO

Ya ha entrado en vigor el Reglamento europeo de protección de datos aprobado por el Parlamento Europeo y el Consejo Europeo, aunque será aplicable obligatoriamente a los dos años de su entrada en vigor; es decir, el 25 de mayo de 2018.

Este Reglamento unifica los regímenes de todos los Estados miembros en materia de protección de datos.

¿Qué empresas estarán obligadas a cumplir con el RGPD?

Este Reglamento se aplica todas aquellas entidades que traten datos de carácter personal que se encuentren dentro de la Unión Europea.

También se aplicaran a responsables y encargados (empresas y entidades) no establecidos en la UE siempre que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión.

Obligación en materia de protección de datos y adecuación al RGPD

La nueva normativa, elimina la obligación de registrar los ficheros ante la Autoridad de Control correspondiente. (Agencia de protección de datos)

La adecuación al nuevo Reglamento consiste:

1. En realizar un registro documental respecto de los datos de carácter personal a los cuales las empresas o entidades por su actividad profesional recaban de sus clientes o usuarios, empleados, proveedores o terceros (se incluye las clausulas o formularios digitales de consentimiento inequívoco respecto a la cesión y tratamiento de los datos del interesado, contratos de ENCARGADO DEL TRATAMIENTO y certificación del cumplimiento en materia de protección de datos y contratos de confidencialidad)
2. Establecer quién es el Responsable del tratamiento
3. Establecer si se realizan cesiones de datos a terceros (Encargados del tratamiento)
4. Definir el uso y finalidades que se va a realizar de dicho tratamiento
5. PRINCIPIO DE RESPONSABILIDAD. (también llamado ACCOUNTABILITY). Esta responsabilidad activa se refiere a la necesidad de prevención por parte de las organizaciones que manejan datos personales. Las empresas y entidades deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece. El RGPD entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, debido a que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar. Para ello todas las organizaciones que tratan datos deben efectuar un ANÁLISIS DE RIESGO de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.
6. PRINCIPIO DE PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
7. PRINCIPIO DE TRANSPARENCIA. Los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.
8. Determinar si el riesgo respecto a los datos y su tratamiento hace necesario una EVALUACION DE IMPACTO SOBRE LA PRIVACIDAD (será obligatorio sí existe un alto riesgo respecto a derechos y libertades de los interesados, si las entidades elaboran perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten de forma significativa, que se realicen tratamientos de datos sensibles a gran escala o que se realicen funciones de vigilancia a gran escala en zonas de acceso público), que determine los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos. En ocasiones, será obligatorio designar un Delegado de Protección de Datos (DPO), interno o externo, que asista a las organizaciones en el proceso de cumplimiento normativo. (será obligatorio en Autoridades y organismos públicos, en caso de vigilancia u observación habitual y sistemática de interesados a gran escala o en caso de que se traten a gran escala datos sensibles).
9. Registro de las actividades de tratamiento: Obligación de llevar un registro interno de todos los tratamientos de datos personales que lleva a cabo la entidad o empresa (siempre que está tenga más de 250 empleados o cuando teniendo menos de 250 empleados se traten de forma no casual datos sensibles: como sanitarios, genéticos y biométricos, religiosos, creencias, datos de origen racial o étnico, de afiliación sindical, ideológicos o de vida sexual).
10. DATOS SENSIBLES. Se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
11. Las BRECHAS DE SEGURIDAD deberán ser comunicadas a las autoridades de control y, en casos graves, a los afectados, tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
12. GARANTÍAS ADICIONALES PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS: Establecimiento de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la Unión Europea.
13. Las empresas multinacionales tendrán como interlocutora a una sola autoridad de control nacional: la del establecimiento principal de la entidad. Es lo que se conoce como VENTANILLA ÚNICA
14. SANCIONES. Las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global

Nuevos derechos para los ciudadanos

• TRANSPARENCIA e INFORMACIÓN. Las organizaciones, al tratar datos personales, deben proporcionar mayor información y de un modo más inteligible, completo y sencillo, lo que favorecerá la toma de decisiones por el ciudadano. Se tiene una especial consideración con los menores de edad en este punto.
• CONSENTIMIENTO. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
• DERECHO AL OLVIDO. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
• DERECHO A LA LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
• PORTABILIDAD DE LOS DATOS. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
• DENUNCIAS. Se podrán presentar denuncias a través de asociaciones de usuarios.
• INDEMNIZACIONES. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.
• El responsable del fichero podrá establecer un CANON a la contestación de los ejercicios del derecho de acceso, teniendo en cuentas los costes administrativos que ello le suponga.

Asimismo, hay que estar atentos ya que se encuentra próxima la aprobación de la nueva Ley Orgánica de Protección de Datos, que actualmente se encuentra en fase de tramitación parlamentaria.