Cuenta atrás para adaptar el reglamento general de protección de datos

2 abril, 2018 - 10 minutes read

Reglamento protección de datos

Cuenta atrás en la adaptación al Reglamento general de Protección de Datos (RGPD UE 2016/679), de obligado cumplimiento a partir del 25 de mayo de 2018.

¡Recuerda! El 25 de mayo de 2018 todas las empresas y autónomos que gestionen datos de personas físicas identificadas o identificables deberán tener adecuado el tratamiento de los mismos según el RGPD.
El 5 de mayo de 2016 entró en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD -UE 2016/679-), de 27 de abril de 2016, que regula el tratamiento de datos personales de las personas físicas y la libre circulación de los mismos, aplicable a todos los estados miembros de la Unión Europea de manera directa. Será la norma principal, siendo las leyes de los estados miembros y los reglamentos que las desarrollan aplicables en las cuestiones que no estén contempladas en el RGPD, y siempre que no entren en contradicción con éste. En el mismo se estableció un periodo transitorio de dos años para que las empresas/autónomos adaptaran las medidas y cumplieran con las obligaciones del nuevo sistema, cuyo plazo vence el 25 de mayo de 2018.
En el RGPD se establecen novedades en el tratamiento de los datos, las más relevantes son:

Traslado de la responsabilidad a las empresas/autónomos:

1. En el tratamiento de los datos en caso de infracción.
2. En el deber de diligencia a la hora de adoptar las medidas necesarias para cumplir con la normativa.

Se refuerza el consentimiento:

Es necesaria una acción positiva, ya no cabe el consentimiento tácito como ocurría antes, por ejemplo al navegar por internet.
Se establece un régimen especial para el consentimiento de los menores, en general menores de 16 años si bien en España se probable que se mantenga en los menores de 14 años tal y como establece la LOPD.

Se refuerza el deber de información:

1. Antes de la obtención de los datos por parte del interesado (según la LOPD se debía informar en el momento de la recogida de datos).
2. Se amplía la información a facilitar:
– Si existe un Delegado de Protección de Datos y sus datos
– La base jurídica del tratamiento (por ejemplo un contrato)
– Los destinatarios de los datos personales
– Si se van a transferir a un tercer país u organización internacional, y en este caso si existe o no una decisión de la Comisión (AEPD, autoridad competente en Protección de Datos) sobre la adecuación en las medidas de seguridad de los datos tratados.
– Plazo de conservación de los datos o criterios utilizados para determinar ese plazo

Información sobre la obtención de los datos personales

cuando no se hayan obtenido directamente del interesado, teniendo que facilitarse antes de ser comunicados a otro
destinatario, en el momento de la primera comunicación con el interesado y como muy tarde en el plazo de un mes.
En la LOPD en plazo máximo era de tres meses.
– Se mantiene la información sobre los tratamientos, las finalidades y los destinatarios. Se añade la categoría de los datos de que se trate (Seudonimizados o no).
– Informar sobre la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, además de los derechos de limitación, olvido y portabilidad.
– Identidad y dirección del responsable del tratamiento, o del representante en su caso.
– Derecho a presentar una reclamación ante la autoridad de control, en el país al que pertenezca o en otro de la Unión.

Se amplían los derechos:

De acceso, rectificación, cancelación y oposición con el derecho al olvido y el derecho a la portabilidad de los datos

Medidas de seguridad:

A diferencia de la LOPD el RGPD no establece un listado de medidas de seguridad, sólo indica que se tomen las apropiadas, significando el listado ofrecido por la LOPD sea orientativo.

Se establece la obligación de notificar fallos de seguridad:
1. A la autoridad de control (en 72 horas, y si no se produce en ese plazo acompañada de los motivos de la dilación):
a. con el número de interesados afectados
b. los registros de datos afectados
c. las categorías
d. comunicar los datos de contacto para obtener más información
e. las consecuencias de la violación
f. las medidas adoptadas o propuestas por el responsable
g. si la violación se produce en sede del encargado del tratamiento, deberá notificárselo al responsable para que lo
notifique a su vez a quien corresponda

2. A los interesados:
a. En un lenguaje claro y sencillo
b. comunicar los datos de contacto para obtener más información
c. las consecuencias de la violación
d. las medidas adoptadas o propuestas por el responsable
Esta comunicación a los interesados no será necesaria si se han adoptados medidas de protección apropiadas, en concreto encriptación de los datos, o supone un esfuerzo desproporcionado, pudiendo sustituirse por una comunicación pública.

Se amplía el ámbito territorial:

1. Se aplica al tratamiento de datos personales en la actividad del responsable o encargado del tratamiento que tenga su domicilio social en la Unión Europea, independientemente que el tratamiento tenga lugar dentro o fuera de la Unión.
2. Se aplica al tratamiento de datos personales de residentes en la Unión Europea, independientemente de si el responsable o encargado del tratamiento no está establecido en la Unión, se amplía la aplicación a terceros países que traten datos de ciudadanos europeos aunque no tengan presencia física en el territorio europeo.

Establece la competencia territorial de la Autoridad de control:

Establece como Autoridad de control principal la del territorio del establecimiento principal o del único establecimiento del responsable o encargado del tratamiento. Si un interesado presenta una reclamación ante
una autoridad de control que no sea la principal, ésta podrá tramitarla, informando a la autoridad de control principal. La peculiaridad es que si recurre ante los tribunales, lo hará en los de la autoridad ante la que
presentó la reclamación. El RGPD fomenta la coordinación entre las autoridades de control.

Nuevas obligaciones:

En el seno de la empresa según determinadas características:
– Nombramiento de un Delegado de Protección de Datos (empresas con más de 250 empleados o que gestionan datos relativos a condenas e infracciones penales, siendo voluntario para el resto de empresas), Evaluaciones de Impacto de las operaciones de tratamiento (alto riesgo para los derechos y libertades de las personas por el uso de nuevas
tectologías) y Registro de actividades (datos especialmente protegidos).

Establece un nuevo sistema de sanciones:

Teniendo en cuenta el volumen de negocio anual del ejercicio financiero anterior de la empresa, pudiendo sancionar entre el 2 y el 4% del mismo según catalogue la autoridad la sanción entre leves y más graves.

Conclusión:

Se traslada toda la responsabilidad a las empresas/autónomos, responsables de los tratamientos de datos de carácter personal, que deberán tener mayor control en el tratamiento y ser diligentes, teniendo que actuar no sólo en caso de infracción sino mediante la implantación de medidas preventivas y cumpliendo con las nuevas obligaciones.
Todas las obligaciones deben cumplirse y las medidas deben estar implantadas en las empresas antes del 25 de mayo de 2018. ¡Quedan menos de tres meses! Consulte con su asesor.