El nuevo Reglamento General de Protección de Datos entró en vigor en mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. Los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del nuevo Reglamento en el momento en que sea de aplicación.
El nuevo Reglamento General de Protección de Datos 2016/679, del Parlamento Europeo, entró en vigor en mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. En este periodo transitorio y aun cuando siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del nuevo Reglamento en el momento en que sea de aplicación.
No obstante, es importante que las empresas se vayan adaptando a la nueva normativa, revisen sus avisos de privacidad y que no esperen hasta última hora. Aunque hasta mayo de 2018, estrictamente, no será de obligado cumplimiento, sin embargo, es muy útil para las empresas obligadas a cumplir con la normativa de Ley Orgánica de Protección de Datos (LOPD) empezar a implantar las medidas de seguridad previstas en el Reglamento, ya que la mayor parte de las disposiciones no son contrarias a la LOPD, sino que, muy al contrario, se complementan, pero se requiere la revisión completa de cláusulas en contratos, privacidad en páginas web, formularios de recogida de datos personales, hojas de encargo o pedido, etc.
Novedades
El Reglamento introduce nuevos elementos, como el derecho al olvido (solicitar la supresión de datos antiguos cuando ya no responden a una finalidad lícita o se retira el consentimiento) y el derecho a la portabilidad (recuperar los datos que fueron entregados a un responsable, en su momento, en un formato que le permita su traslado a otro responsable), que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
Uno de los aspectos esenciales del Reglamento, es que basa la aplicación de las políticas de protección de datos en el principio de prevención por parte de las empresas u organizaciones que tratan datos. Esto es así porque se entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente, dado que esas infracciones han podido causar daños a los interesados que pueden ser muy difíciles o imposibles de compensar o reparar.
Otra novedad es la figura del «Data Protection Officer (DPO)» o Delegado de Protección de Datos en el nuevo Reglamento, cuya principal responsabilidad consiste en garantizar el cumplimiento de la normativa de privacidad y protección de datos de las organizaciones, instituciones, empresas o corporaciones.
La figura del DPO queda definida así para las entidades e instituciones:
1) Tendrán que ser profesionales que puedan acreditar formación y conocimientos especializados en materia de protección de datos.
2) Sus funciones básicamente serán asegurar el cumplimiento normativo de la protección de datos, haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos y la seguridad de la información.
3) El DPO será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.
4) El DPO puede establecerse a través de contratación externa o mediante designación dentro de la plantilla de la organización.
Las entidades que traten datos sensibles (salud, origen racial, religión, vida sexual, creencias, ideología política, afiliación sindical, etc.) están especialmente afectadas por las normas del Reglamento y obligatoriamente deberán designar un delegado de protección de datos (DPO).
Por último, el Reglamento General contempla otro instrumento para garantizar el cumplimiento, que es la necesidad de realizar la “Evaluación de impacto en la privacidad”, cuando sea probable que un tipo de tratamiento, en particular si utilizan nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas.
Sanciones
Se prevé en el reglamento la imposición de sanciones que pueden consistir, dependiendo del tipo de infracción, en multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, o bien, multas administrativas de 20.000.000 € como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía.
Información de la Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos (AEPD) ha publicado en su WEB materiales y recursos con los que facilitar a las pequeñas y medianas empresas su adaptación al Reglamento General de Protección de Datos (RGPD). Los materiales incluyen una “Guía del Reglamento para responsables de tratamiento”, “Directrices para elaborar contratos entre responsables y encargados”, una “Guía para el cumplimiento del deber de informar”, y “Orientaciones y garantías en los procedimientos de anonimización de datos personales”.
Para más información puede ver:
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php
En este despacho ofrecemos a nuestros clientes el servicio de DPO, por personal especializado. Pueden ponerse en contacto con nosotros para cualquier duda o aclaración que puedan tener al respecto, y solicitar cita informativa gratuita.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!