Novedades relativas a la entrada en vigor del nuevo reglamento de protección de datos

RGPD

A partir del 25 de mayo de 2018 se producirá la aplicación efectiva del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante, “RGPD”), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, y que dará un giro relevante en la unificación de la regulación en materia de Protección de Datos a nivel Europeo. Dicho Reglamento será aplicable de manera obligatoria en todos sus elementos a cada Estado Miembro. La normativa Española en materia de Protección de Datos deberá ser adaptada a las nuevas directrices del Reglamento, pudiendo convivir con este de momento, en todo aquello que no entre en contraposición directa con el mismo.

Principales novedades

En cuanto a las principales novedades, detallamos las siguientes:

Respecto a los principios aplicables al tratamiento de datos:

El RGPD establece que estos habrán de ser tratados de manera lícita, leal y transparente (“licitud, lealtad y transparencia”).

Los datos habrán de ser recogidos con fines determinados, explícitos y legítimos (“limitación de la finalidad”). Limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”). Estos han de ser exactos y han de ser  actualizados (“exactitud”).

Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines de su tratamiento (“Limitación del plazo de conservación”).

Tratados de manera que se garantice una seguridad adecuada de los datos personales (“integridad y confidencialidad”). El responsable del tratamiento será responsable del cumplimiento de estas normas y capaz de demostrarlo (“responsabilidad proactiva”).

consentimiento

En cuanto a las condiciones para considerar el consentimiento como válidamente prestado, este habrá de ser dado de manera expresa, de forma que el responsable del tratamiento pueda demostrar que este haya sido debidamente prestado.

Información

La información a facilitar al interesado al obtener sus datos personales será más amplia que la requerida hasta ahora.

Derechos para los interesados

Se incorporan los siguientes derechos para los interesados:

  • Derecho de transparencia, según el cual, el responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda la información relativa a su tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
  • Derecho de supresión (“derecho al olvido”), de manera que el interesado tendrá derecho a que el responsable del tratamiento suprima sin dilación sus datos personales, siempre que quien posea esos datos no tenga razones legítimas para retenerlos.
  • Derecho a la portabilidad de los datos, según el cual, el interesado tendrá derecho a recibir, y a que sus datos sean transmitidos de un responsable a otro, en un formato estructurado, de uso común y lectura mecánica.
  • Derecho de limitación, según el cual, el interesado tendrá derecho a obtener del responsable del tratamiento la limitación en el tratamiento de los datos cuando se cumpla alguna de las condiciones requeridas (ej.- impugnación de exactitud de datos por el interesado, oposición del interesado por ilicitud de tratamiento, etc.).

Responsable del tratamiento

Respecto a la responsabilidad del responsable del tratamiento, ya no se distingue entre fichero de nivel básico, medio o alto, este aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento (ej.- políticas de protección de datos, adhesión a códigos de conducta, etc.).

Registro de actividades del tratamiento

Se sustituye la obligación de notificación de ficheros a la AEPD por la de que cada responsable, lleve un registro de actividades del tratamiento efectuadas bajo su responsabilidad.

Violación de seguridad

Se exige a los responsables de tratamiento la notificación a la autoridad de control, de cualquier violación de seguridad de los datos personales, a más tardar 72 horas después de que haya tenido constancia de ella.

Evaluación de impacto y consulta

Asimismo, el responsable del tratamiento deberá realizar una evaluación de impacto de las operaciones del tratamiento.Además, el responsable deberá consultar a la autoridad de control antes de proceder al tratamiento cuando de la evaluación de impacto se derive que el tratamiento entrañaría un alto riesgo si este no toma medidas para mitigarlo.

Delegado de protección de datos

Se introduce la figura del Delegado de protección de datos, siempre que el tratamiento lo lleve a cabo una autoridad u organismo público, las actividades principales del responsable o encargado consistan en operaciones de tratamiento que en razón de su naturaleza, alcance o fines requieran una observación habitual y sistemática de interesados a gran escala, o sus actividades consistan en el tratamiento a gran escala de categorías especiales de datos personales.

transferencias de datos internacionales

En cuanto a las transferencias de datos internacionales, desaparece la necesidad de solicitud de autorización a la AEPD, y el RGPD establece un régimen de transferencia basado en una decisión de adecuación por parte de la Comisión Europea, en la que se determinara que países o territorios garantizan un nivel de protección adecuado, en que la transferencia a terceros países u organizaciones internacionales ofrezca garantías adecuadas (ej.- instrumento jurídicamente vinculante, normas corporativas vinculantes, etc.), o que se base en otras excepciones para circunstancias específicas, según las cuales, en ausencia de lo anterior, se cumplan una serie de condiciones (ej.- consentimiento del interesado, transferencia necesaria para la ejecución de un contrato, razones de interés público, etc.).

Conforme a todo lo anterior, y aunque en España no está previsto a corto plazo, la puesta en marcha de la adaptación de la normativa española a estas novedades introducidas por el nuevo RGPD, durante los dos años que han trascurrido desde la entrada en vigor de la norma (25 de mayo de 2016), las compañías deberían de haberse puesto al día y adaptado sus procesos a esta nueva regulación. Si todavía no lo has hecho, los profesionales de Audalia Nexia, estaremos encantados de ayudarte.

Elvira BianquiLinkedin_circulo