El Reglamento General de Protección de Datos (RGPD) (UE) 2016/679 ya está aquí. Y la vida sigue. Ayer, 25 de mayo, entró en vigor la nueva normativa europea, que incluye numerosas actualizaciones y novedades con respecto a la anterior Directiva 95/46/CE y que es de aplicación directa a todos los estados miembros. No obstante, no hay que alarmarse. Eso sí, es necesario contar con asesores expertos en lo que al tratamiento de datos se refiere.

Con la entrada en vigor del RGPD desaparece la obligación de inscribir ficheros a la autoridad de control y tener un documento de seguridad guardado en un armario, medidas estrella de nuestra LOPD.

Principales novedades

El nuevo RGPD busca una cultura de protección de datos estableciendo principios de privacidad desde el diseño y por defecto, tratando de garantizar que se aplican las medidas técnicas y organizativas apropiadas a fin de demostrar que el tratamiento es conforme con el Reglamento, como así indica el principio de accountability -responsabilidad proactiva-. Pasamos del cumplimiento a la prueba del cumplimiento.

A su vez, se debe documentar e identificar claramente la base legal sobre la que se desarrollan los tratamientos. Conviene saber que el consentimiento es una de las legitimaciones aceptadas, pero no la única, también están los contratos firmados, interés legitimo, y fuentes accesibles al público. Todos hemos sufrido estos días una avalancha de correos para dar consentimiento a tratamientos que no lo requerían o simplemente aprovechando las dudas y la desinformación para recabar un consentimiento que legitime el envío futuro de prospección comercial nunca antes dada.

La información aportada a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y también debe ser de fácil acceso. Asimismo, debe contar con un lenguaje claro y sencillo, facilitando el ejercicio de derechos; estos, a su vez, ya no son solo los conocidos como derechos ARCO –Acceso, Rectificación, Cancelación y Oposición-, nacen además otros derechos, como son el derecho al olvido, el derecho a la portabilidad de los datos y el derecho a la limitación del tratamiento.

Nacen también nuevas obligaciones entre responsable y encargado, que deben dejar firmado su contrato de acceso a datos. Así pues, los responsables tendrán que elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento.

Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados. Del mismo modo, se obliga a los responsables a realizar un análisis de riesgo, condicionando la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer para los derechos y las libertades de los interesados.

Se crea a su vez la obligación de llevar un registro de actividades del tratamiento, a fin de dejar constancia de todos los tratamientos de datos que tienen lugar en la actividad diaria. Esta obligación sustituye a la inscripción de ficheros en la autoridad de control.

Realización de evaluaciones de impacto para aquellos tratamientos que lo requieran y notificación de violaciones de seguridad a la autoridad de control.

¿A qué cantidad ascienden las multas?

Mención especial además para el endurecimiento del régimen sancionador, ya que tenemos que tener en cuenta que el incumplimiento con este RGPD puede suponer hasta 10 millones de euros o un 2% de la facturación anual. Incluso la más grave, que supone 20 millones de euros o un 4% de la facturación anual.

¿Qué es un Delegado de Protección de Datos?

El Delegado de Protección de Datos se encarga de garantizar la privacidad y la protección de datos personales dentro de las organizaciones, mediante la información, el asesoramiento, la supervisión, la concienciación, la formación, la cooperación, la interlocución con la autoridad de control, con los interesados y con los titulares del derecho a la protección de datos.

Detalle importante, no todas las empresas necesitan un DPD, por ahora, solo, administraciones públicas, empresas o entidades que tengan como actividad principal el seguimiento de personas de forma sistemática y a gran escala  y aquellas que manejen categorías especiales de datos a gran escala.

En conclusión, muchas novedades que no deben asustar, pero todos debemos adecuarnos cuanto antes a estos cambios para evitar futuras sorpresas. El anteproyecto de Ley Orgánica de Protección de Datos Española aún se esta debatiendo en las cortes con numerosas enmiendas; con el panorama político actual, esta no saldrá antes del verano, eso sí, solo matizará aspectos concretos del RGPD. Si requieres una implantación o una adecuación no dudes en contactar con Cruz Asesores.