Novedades Reglamento Europeo Protección de Datos
Como muchos sabemos el nuevo Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) entró en vigor en 2016 y comenzará a aplicarse a partir de mayo de 2018. Para ello hemos querido realizar un resumen de cuáles son las principales novedades que trae consigo el Nuevo Reglamento:
- Consentimiento de los interesados.
El nuevo Reglamento obliga a modificar las políticas de privacidad en lo referente a la recogida de datos personales. Elconsentimiento deberá ser libre, específico, informado e inequívoco mediante declaración o clara acción informativa (el silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento), por lo tanto desaparece el consentimiento tácito tan utilizado dentro de la normativa española. Así mismo, el responsable del tratamiento de los datos deberá poder probar que el titular consintió dicho tratamiento. - Registro de actividades de tratamiento de datos
Deberá establecerse y documentarse un procedimiento por el cual los responsables del tratamiento llevarán un registro de las actividades en la materia efectuadas. Dicho registro contendrá información relativa al tipo de información personal que se recoge, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad del tratamiento y las medidas técnicas y de seguridad adoptadas por la organización, entre otros aspectos. Aunque no todas las Organizaciones están obligadas a realizarse, si es recomendable de cara a una efectiva gestión de la seguridad - Notificación de violaciones de seguridad
Todas las violaciones de seguridad que se produzcan relacionadas con datos personales deberán ser notificadas a la autoridad de control sin dilación indebida (a más tardar 72 horas después de que se haya tenido constancia de la violación). - Principio de Responsabilidad Proactiva. “Accountability”
Es el principio rector que afectará a todas las obligaciones del GDPR donde se impone una obligación de “responsabilidad proactiva” que exige a las organizaciones el establecimiento de medidas adecuadas que garanticen y permitan demostrar el cumplimiento del Reglamento (esto es, políticas de protección de datos que no solo han de existir, sino que han de estar adaptadas a las circunstancias de la organización, implementadas y funcionar en la práctica) - Evaluaciones de impacto
Se establece la obligación de las organizaciones de llevar a cabo evaluaciones previas de impacto para aquellos tratamientos que supongan un riesgo significativo para los derechos de las personas. De hecho, el Reglamento indica expresamente algunos casos en los que dicha evaluación será obligatoria. - Designación del delegado de protección de datos (DPO)
Será necesario designar a un delegado de protección de datos (DPO) externo o interno en función del volumen de datos gestionados o por las categorías especiales de éstos. Esta figura se encargará de supervisar y asesorar al encargado del tratamiento en materia de protección de datos personales, así como de ejercer de nexo con la autoridad de control. Según el GDPR el DPO deberá tener conocimientos especializados en materia de protección de datos. - Ampliación del ámbito de aplicación
Las empresas de fuera de la UE tendrán que cumplir con el reglamento si ofrecen productos y/o servicios a ciudadanos europeos y también en el caso de que monitoricen de algún modo su comportamiento (especialmente importante en el caso de apps, redes sociales, etc…). Cualquier ente que almacene y procese datos de ciudadanos de la UE debe cumplir con el reglamento independientemente de su localización. - Régimen Sancionador más severo
Bajo el nuevo reglamento las violaciones de seguridad, la falta de consentimiento, las transferencias internacionales de datos no autorizadas pueden suponer multas de hasta 20 millones de euros o el 4% de la facturación de una empresa. - Nuevos Derechos para los interesados
Además de los tradicionales derechos de acceso, rectificación, cancelación y oposición, se reconocen nuevos derechos como el derecho a la portabilidad de los datos y se regulan derechos específicos como el derecho al olvido o el derecho a la limitación del tratamiento (dentro del derecho de cancelación –ahora llamado de supresión–) y el derecho a oponerse a actividades de profiling o segmentación de perfiles (dentro del derecho de oposición). - Derecho de Información reforzada
La información que ha de proporcionarse sobre el tratamiento de datos es más amplia que la prevista en la LOPD (indicación de la base jurídica del tratamiento, transferencias internacionales de datos, plazo de conservación de los datos, etc). Esta información podrá ser proporcionada en combinación con iconos armonizados para todos los países de la UE. - Los principios de protección de datos desde el diseño y por defecto
El responsable del tratamiento deberá adoptar políticas internas y aplicar medidas técnicas y organizativas para poder cumplir con los principios de protección de datos desde el diseño y por defecto; Privacy by Design y Privacy by Default, respectivamente. - Códigos de Conducta y Certificaciones
En el GDPR se promociona la aplicación de códigos de conducta y esquemas de certificación de protección. Además, se les da un gran valor como herramienta para cumplir con el principio de Responsabilidad Proactiva. “Accountability”. - Gestión de la Seguridad basada en el riesgo (“risk-based approach”)
La seguridad pasa a ser un componente abierto, flexible y basada en una gestión de autogobierno que dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas y los riesgos que el tratamiento presenta para los derechos y libertades de los titulares de los datos.