Nuevas medidas de seguridad en la protección de datos de carácter personal

27 diciembre, 2017 - 7 minutes read

Nuevas medidas de seguridad en la protección de datos de carácter personal

Entran en vigor nuevas medidas de seguridad en la protección de datos de carácter personal

La Constitución Española en su artículo 18.4 garantiza el derecho al honor y la intimidad de las personas físicas. El pasado 25 de mayo de 2016 entró el vigor el nuevo Reglamento Europeo de Protección de Datos 2016/679 (en adelante RGPD) aprobado por el Parlamento Europeo que regula el tratamiento de los datos personales.

Las novedades en el Reglamento Europeo

A partir del próximo 25 de mayo de 2018 la autoridad competente en Protección de Datos de carácter personal, que en España es la Agencia Española de Protección de Datos (AEPD), podrá denunciar e imponer sanciones a toda persona física o jurídica que en el tráfico comercial trate datos de carácter personal y no haya establecido las nuevas medidas de seguridad según el Reglamento Europeo de Protección de Datos 2016/679 (RGPD).

El RGPD es de aplicación directa en todos los Estados Miembros de la Unión Europea y establece en su artículo 99 un periodo transitorio de dos años para su adaptación desde su entrada en vigor, esto significa, que será ejecutivo y obligatorio en España en mayo de 2018. Los responsables del tratamiento de los datos deben asumir que es la norma de referencia.

La Ley que sustituya a la actual LOPD (Ley 15/1999) incluirá precisiones o desarrollará las materias que el RGPD permita. El objetivo principal del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal es adaptar el ordenamiento jurídico español a la nueva regulación comunitaria. El texto, con fecha 8 de junio de 2017, incorpora algunos puntos que no contemplaba la “antigua” LOPD y nos puede ser de utilidad para aclarar algunas dudas en la aplicación del RPGD. Se espera que la “nueva LOPD” este aprobada y pueda entrar en vigor para mayo del 2018 coincidiendo con la obligatoriedad del RGPD.

El RGPD introduce dos obligaciones principales para los responsables de las organizaciones:

- El principio de responsabilidad proactiva: que el responsable pueda demostrar que el tratamiento de datos es conforme al Reglamento, es decir, qué datos se tratan, con qué finalidad lo hacen y qué tipo de operaciones se llevan a cabo.

- El enfoque de riesgo: evaluar los riesgos y establecer medidas cuando exista riesgo para los derechos y libertades de las personas.

Los datos que se pretenden proteger son los datos de carácter personal, siendo cualquier información concerniente a personas físicas identificadas o identificables registrados en un fichero, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

La Ley obliga a todas las personas físicas y jurídicas que tratan datos de carácter personal, que posea ficheros tanto públicos como privados con información concerniente a una persona física, que pueda ser tratada o cedida. Así todo el que posea datos personales de clientes, pacientes, contribuyentes, proveedores, socios, administradores, alumnos, asegurados, usuarios de páginas web…etc., es sujeto obligado según la Ley de Protección de Datos.

El cumplimiento de la normativa vigente en materia de Protección de Datos implica:

- La elaboración del documento de Seguridad con las medidas jurídicas, organizativas y técnicas a implementar.
- Redacción de contratos que el responsable del fichero deberá firmar con los encargados del tratamiento (por ejemplo empresas de marketing y publicidad, gestorías, empresas de mantenimiento informático, colaboradores externos…etc).
- Redacción de cláusulas de consentimiento e información en la recogida y cesión de datos personales para poder ejercer los derechos de acceso rectificación, cancelación y oposición y los nuevos derechos de limitación, olvido y portabilidad.
- Si ya tiene implantado un protocolo de Protección de Datos, auditoría y actualización del mismo.
-
En caso de utilizar internet para la recogida de datos, también deberá facilitarse esta información a los usuarios que registren sus datos antes del tratamiento de los mismos.
- Informe sobre las cesiones: siempre que por cumplimiento de otra normativa, los responsables se vean obligados a ceder datos a otras empresas u organismos públicos, dichas cesiones deben ser controladas según la normativa de Protección de Datos.
- Transferencias internacionales de Datos. Existen una serie de países que la LOPD considera que proporcionan un nivel de protección adecuado, si bien los no incluidos necesitan una autorización previa de la autoridad competente.

Es importante tener en cuenta que la adaptación debe realizarse antes del 25 de mayo de 2018 para evitar sanciones y cumplir con la normativa.

DÈjanos tu email y recibe un correo al mes con las noticias m·s destacadas

⁄nete a la Newsletter de Plural Asesores