El próximo día 25 de mayo acaba el plazo para adaptarse al Reglamento General de Protección de Datos (RGPD), no solo para las grandes organizaciones sino también para las pymes, ya que tanto una como otra tratan a diario con este tipo de información. Dicho de otro modo: a partir del día 25 de mayo están obligados al cumplimiento del RGPD todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembro, obviamente, también las españolas.

Las claves del reglamento

Como consecuencia del constante estudio que esta Firma está realizado en la materia de protección de datos, os proponemos cuáles podrían ser las principales claves para el cumplimiento de este nuevo Reglamento:

1.- El consentimiento.- Se ha producido un cambio de criterio, pues el consentimiento será una manifestación que conlleve una aceptación inequívoca del usuario, ya sea mediante una declaración o a través de una acción afirmativa. El silencio ya no se considera positivo y el consentimiento tácito desaparece. Asimismo, las casillas premarcadas bajo ningún concepto serán formas válidas de obtención de consentimiento.

2.- La privacidad.- Se debe implementar en las compañías la mentalidad de considerar siempre la detección temprana de posibles tratamientos que impacten sobre los datos de carácter personal. Así, pues, cuando se plantea cualquier proyecto, hay que predecir si el mismo tendrá implicaciones en materia de protección de datos. Todo ello se consigue gracias a una visión conjunta y un conjunto de acciones coordinadas entre áreas jurídicas, organizativas, de negocio e innovación tecnológica.

3.- El análisis del Riesgo.- Surge la obligación de realizar “Evaluaciones de Impacto” en materia de protección de datos. Con el nuevo Reglamento van a desaparecer los niveles de seguridad actualmente conocidos (básico, medio y alto), porque las nuevas medidas irán según el resultado de esas evaluaciones y en función del riesgo a gestionar, lo que obligará a implantar mecanismos y procedimientos para proteger los datos.

4.- El registro de actividades de tratamiento.- Con el RGPD no será necesario inscribir ficheros en el Registro General de Protección de Datos, por el contrario, las organizaciones deberán disponer de un registro interno de los distintos tratamientos de datos personales que llevan a cabo.

5.- La notificación de una violación de la seguridad.- En el momento que se produzca una brecha de seguridad se deberá notificar, en un plazo máximo de 72 horas, a las autoridades correspondientes de protección de datos, que en el caso de España, será la Agencia Española de Protección de Datos.

6.- Los nuevos derechos para los interesados.- La futura entrada en vigor de este Reglamento no exime de mantener la obligación de atender los derechos que ya son conocidos por las empresas: el acceso, la rectificación, la cancelación, que ahora se denomina supresión, la oposición. Únicamente el RGPD introduce dos derechos nuevos: la limitación del tratamiento y la portabilidad de los datos. El responsable del tratamiento está obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes desde la recepción de la misma.

7.- El delegado de protección de datos (DPO).- En los siguientes casos será obligado disponer de un DPO: (i) cuando el tratamiento lo realice una autoridad u organismo público (excepto juzgados y tribunales);(ii) cuando el tratamiento requiera la observación habitual y sistemática de datos a gran escala; (iii) cuando el tratamiento tenga por objeto categorías especiales de datos personales. Fuera de los supuestos enumerados por la normativa, queda al arbitrio del responsable contar con un DPO.

8.- Un mayor nivel de trasparencia e información.- Para cumplimentar este punto se ha de mostrar (i) la identidad del responsable, (ii) los fines de tratamiento y (iii) la información sobre el ejercicio de derechos, (iv) los datos de contacto del delegado de protección de datos, (v) los intereses legítimos del responsable o de un tercero; (vi) la intención de transferir datos personales, (vii) el plazo durante el cual se conservarán los datos personales,(viii) la existencia de los nuevos derechos de los interesados, (ix) la existencia de decisiones automatizas, entre otros.

9.- La ventanilla única.- Va a permitir a cualquier ciudadano presentar una reclamación ante la autoridad de protección de datos del lugar donde resida, independientemente del domicilio de la sede de la empresa denunciada.

10.- El nuevo régimen sancionador.- Este Reglamento destaca porque se verán aumentadas considerablemente las sanciones por incumplimiento, con multas administrativas de 20 millones de euros como máximo o, cuanto sea una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en casos de incumplir de los principios básicos, incluidas las condiciones para el consentimiento y tratamiento de datos especiales, derechos de los interesados y garantías para la transferencia de datos.

Pedro Martín Molina

Dejar respuesta

Please enter your comment!
Please enter your name here