Nuevo Reglamento Europeo De Protección De Datos

Nuevo Reglamento de Protección de Datos

Nuevo Reglamento de Protección de Datos

A día de hoy, en todas las empresas surgen dudas con respecto a cómo se deben tratar los datos personales de clientes, trabajadores y proveedores. Y nos preguntamos, ¿se está cumpliendo con el GDPR?

El día 25 de Mayo se aplicará el nuevo Reglamento Europeo de Protección de Datos (GDPR) ¿Qué hay que hacer para cumplir con esta nueva ley europea de protección de datos?

Expansión, Signaturit y La Agencia Española de Protección de Datos nos revelan algunas de las principales novedades sobre este Nuevo Reglamento Europeo de Protección de Datos.

Nuevo Reglamento de Protección de Datos ¿Qué tienen que hacer las empresas para cumplirlo?

El nuevo Reglamento Europeo de Protección de Datos, otorgará un mayor grado de control a los ciudadanos sobre su información privada, pero también impondrá cambios radicales para las empresas. Éstas deberían llevar dos años adaptando sus protocolos y estructuras, por lo que es recomendable que todas las empresas empiecen a familiarizarse con las nuevas exigencias y procedimientos para evitar sanciones llegado el momento.

Rosa Rodriguez,  directora de la asesoría jurídica de Securitas Direct comenta que España y sus empresas tienen una gran ventaja. ” Tienen un mayor grado de madurez que en otros estados respecto al tratamiento de datos, ya que la Ley Orgánica de Protección de Datos era muy fiel a la directiva y la AEPD siempre se ha mostrado muy estricta en su cumplimiento”

Lo que preocupa a las empresas son las sanciones de incumplimiento del nuevo reglamento europeo de protección de datos. Se sabe que estas normas cuentan con multas muy elevadas. Para determinar la sanción aplicable se tendrán en cuenta aspectos como: la cooperación de la compañía durante la investigación, el nivel de aplicación de las obligaciones del RGPD, así como la actividad proactiva de la empresa para proteger los datos personales de los usuarios y clientes. El sistema sancionador es muy estricto y no deja espacio a la interpretación, pero este nuevo marco jurídico es más flexible en ese sentido.

10 principales novedades del nuevo Reglamento Europeo de Protección de Datos

Nuevos principios (art. 5)

Podemos encontrar nuevos principios a tener en cuenta en el tratamiento de datos personales:

Principio de Transparencia  (5.1.a). “Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. Su materialización conlleva un importante cambio, ya que desaparece la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control (Agencia Española de Protección de Datos (AEPD)).

Principio de limitación de la finalidad (5.1.b). “Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (…)”. Estos fines explícitos y legítimos deberán determinarse en el momento de la recogida de los datos.

Minimización de datos (5.1.c). “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Este principio obliga a aplicar las medidas técnicas y organizativas apropiadas para garantizar que solo sean objeto de tratamiento los datos personales que sean necesarios para cada fin específico del tratamiento.

Nuevos derechos de los ciudadanos

La Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados: Acceso, Rectificación, Cancelación y Oposición, pero con el nuevo Reglamento Europeo de Protección de Datos, esta lista se amplía y se añaden:

Derecho a la transparencia de la información, (art. 12)

Derecho de supresión (derecho al olvido), (art. 17). Cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos. Su objetivo es conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva.

Derecho de limitación, (art. 18)

Derecho de portabilidad, (art. 20). El nuevo GDPR cuenta con la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales se transmitan directamente cuando sea técnicamente posible.

LOPD Y NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS – E-LEARNING – ABRIL

Ampliación del deber de información

Desde mayo de 2018, el Reglamento exige la obligación de informar sobre nuevos aspectos:

Se explicará la base legal para el tratamiento de los datos.

Informar acerca del periodo de conservación.

Advertir acerca de la posibilidad de hacer reclamaciones.

Se debe informar de los demás derechos que incorpora el nuevo RGDP.

Obtención del consentimiento para el tratamiento de datos

La actual LOPD exige el consentimiento inequívoco de los interesados para el tratamiento de sus datos. No obstante, si los datos recabados no son especialmente sensibles, se admite que dicho consentimiento pueda ser tácito.

Aunque el GDPR mantendrá los mismos principios del consentimiento de la LOPD (Consentimiento libre, informado, específico e inequívoco). El nuevo GDRP indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado manifestando su conformidad.

Otra de las novedades importantes es sobre el tratamiento de datos de menores. Desde mayo de 2018 no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal (mínima requerida actualmente son 14 años).

Establecer acciones y medidas de seguridad

Actualmente el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD) establece la obligación de aplicar diferentes medidas en función del nivel de seguridad (básico, medio o alto) de los datos tratados.

El nuevo Reglamento europeo de protección de datos habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse.

Lo que el GDPR exige es que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de los datos, pudiendo demostrar las medidas de seguridad aplicadas.

Evaluación de impacto del tratamiento de datos personales

Otra nueva obligación que establece el GDPR es la de realizar una evaluación de impacto para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

En 2014,  la Agencia Española de Protección de Datos publicó una guía para la Evaluación de Impacto en la Protección de Datos Personales, en la que se establecen las bases y aspectos esenciales que deberán tener en cuenta los obligados a realizar la evaluación de impacto.

Comunicación de fallos a la autoridad de protección de datos

Una de las novedades más importantes del GDPR se trata de una obligación a notificar las violaciones de seguridad de los datos. Es decir, el responsable del tratamiento de los datos deberá notificar a la autoridad competente (AEPD en España) cualquier brecha de seguridad que se haya producido en el plazo de 72 horas desde que ocurra.

CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN – E-LEARNING – 

La Figura del Delegado de Protección de Datos

En el nuevo GDPR hay una sección entera dedicada al Delegado de Protección de Datos. Esto se debe a la relevancia que este tiene para el futuro. Esta persona es el asesor de protección de datos de la empresa. Asume competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos.

Entre las funciones que le serán encomendadas a un delegado de protección de datos se encuentran, las siguientes:

  • Supervisar la implementación y aplicación de las políticas internas.
  • Realizar formación al personal.
  • Organizar y coordinar las auditorías.
  • Gestionar la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos.
  • Velar por la conservación de la documentación.
  • Supervisar la realización de la evaluación de impacto.
  • Actuar como punto de contacto para la autoridad de control.

El Delegado de Protección de Datos deberá tener conocimiento experto de la legislación y la capacidad de cumplir con las tareas impuestas por el GDPR.

 Las autoridades de protección de datos

El GDPR sigue manteniendo la existencia de los diferentes reguladores nacionales y sus funciones. Ahora estarán coordinados por un organismo dependiente de la Comisión Europea: el Comité Europeo de Protección de Datos.

Se establece un sistema de ventanilla única. Lo que significa que en caso de que los titulares tengan que realizar una reclamación en cualquier Estado miembro, podrán acudir ante la autoridad de su país.

Sanciones más altas

La cuantía que establece el GDPR es una de las cuestiones que está tomando mayor discusión.

Hasta ahora las sanciones pueden ir desde 900 euros hasta 600.000. A partir de Mayo de 2018 no habrá cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.

 

¿Te ha gustado este Post sobre El Nuevo Reglamento de Protección de Datos? ¿Te gustaría saber más sobre este tema o de temas relacionados con la gestión Empresarial?  No dudes en apuntarte a nuestros cursos.

escribe en los comentarios si tienes alguna duda. No dudes en compartir tus opiniones con nosotros, estaremos encantados de responderte.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Suscríbete a nuestra nuestra Newsletter

Consentimiento envío información comercial

Información básica sobre protección de datos:

  • . Responsable de tratamiento: Creatia Business S.L.
  • . Finalidad: Remisión de comunicaciones comerciales.
  • . Legitimidad: Consentimiento expreso del interesado.
  • . Destinatarios: No se cederán datos a terceros excepto cuando sea necesario e imprescindible para atender su solicitud
  • . Derechos: Acceso, rectificación, oposición, supresión, limitación, portabilidad.
  • . Puede consultar la información adicional sobre protección de datos a través del siguiente enlace https://creatiabusiness.com/proteccion-de-datos/