RGPD: Novedades en la Ley de protección de datos

Ordenador portátil que muestra una bandera de Europa y las siglas RGPD en la pantalla. Ilustra el artículo sobre la modificación del reglamento de protección de datos personales.

El 25 de mayo de 2018 entró en vigor el Reglamento Europeo de protección de datos.

Cada Estado miembro de la UE debe transponer el Reglamento y, a su vez, elaborar una Ley de su propio país que desarrolle el Reglamento europeo.

En España se está tramitando un Proyecto de nueva Ley Orgánica de Protección de Datos, por lo que habrá que estar atento en los próximos meses.

El Reglamento Europeo pretende conceder mayor autonomía a los interesados sobre sus datos personales, para tener mayor control sobre los mismos.

Principales modificaciones con el nuevo Reglamento Europeo de Protección de Datos:

  • Nueva redacción de la Ley Orgánica de Protección de Datos LOPD.
  • Mayor rendición de cuentas.
  • Responsabilidad proactiva.
  • Análisis riesgos de empresas.
  • Nueva figura de Delegado de Protección de Datos.
  • Nuevos derechos ciudadanos.
  • Mayor información a los ciudadanos.
  • Consentimiento libre específico e inequívoco.

 

¿Quién está obligado a cumplir con el RGPD?

Este Reglamento se aplica todas las entidades que traten datos de carácter personal que se encuentren dentro de la Unión Europea.

También se aplicará a responsables y encargados no establecidos en la UE siempre que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea.

 

Nuevas obligaciones

Este Reglamento supone un mayor compromiso de las empresas y organizaciones con la Protección de Datos.

1. Rendición de cuentas

Se amplía la información que se les debe dar a los interesados en relación con el tratamiento de sus datos así como a sus derechos en esta materia.

Se incorpora el concepto de privacidad desde el diseño, lo cual se traduce en que la elaboración de los procedimientos empresariales se tiene que realizar teniendo en cuenta la protección de datos desde un primer momento.

2. Notificación de violaciones de seguridad

La nueva normativa exige que las violaciones en la seguridad que puedan afectar a los datos personales sean notificadas en un plazo máximo de 72 horas a la Autoridad de Control correspondiente. En el caso de España se hará frente la Agencia Española de Protección de Datos.

Si además si en esa violación se pueden ver afectado datos de carácter sensible y con gran repercusión a los afectados, también se lo deberán notificar a estos mismos.

3. Registro de las actividades de tratamiento

La nueva normativa, elimina la obligación de registrar los ficheros ante la Autoridad de Control correspondiente.

No obstante obliga a llevar un registro interno de todos los tratamientos de datos personales que lleva a cabo la entidad, siempre que esta no tenga más de 250 empleados o cuando se traten, no de forma ocasional, datos sensibles.

4. Responsabilidad proactiva

Esta responsabilidad activa se refiere a la necesidad de prevención por parte de las organizaciones y entidades que manejan datos personales.

Deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece.

El RGPD entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, debido a que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar.

Para ello, todas las organizaciones que tratan datos deben efectuar un análisis de riesgo de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.

5. Delegado de Protección de Datos

Se trata de una nueva figura de responsabilidad dentro de la entidad.

El DPO, se encargará de la planificación de las medidas de seguridad aplicables a los tratamientos de datos así como la gestión de los mismos.

Hay que destacar que servirá de enlace entre la empresa y la autoridad de control.


¿Cómo afecta a los ciudadanos y qué herramientas tienen para proteger sus datos personales?

Se introducen nuevos elementos, que aumentan la capacidad de decisión y control de los ciudadanos sobre los datos personales que facilitan a terceros.

1. Derecho al olvido

Es el derecho que tienen los ciudadanos a solicitar, y conseguir de los encargados, que los datos personales sean suprimidos cuando estos ya no sean necesarios para el fin para el que fueron obtenidos, cuando se haya revocado el consentimiento o cuando estos se hayan obtenido de forma ilegal.

2. Derecho a la portabilidad

Implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de forma digitalizada podrá requerir recobrar esos datos en un formato que le permita su traslado a otro responsable.

3. Cambios en la obtención del consentimiento

El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.
Las organizaciones o entidades deberán revisar la forma en la que obtienen y guardan el consentimiento.
Además, para poder considerar que el consentimiento es “incuestionable”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que apunte al acuerdo del interesado.

La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos.

Se exige que el consentimiento tenga que ser “manifiesto” en determinados casos, como puede ser para autorizar el tratamiento de datos sensibles.

Por tanto, el consentimiento tiene que ser verificable y quienes recopilen datos personales deben poder probar que el afectado les concedió su consentimiento.

 

 

María del Mar Ropero Ibáñez
Abogada