Aplicación del nuevo Reglamento General de Protección de Datos y ¿ahora qué hago?

Quedan menos de 2 meses para que finalice el periodo de adaptación a las regulaciones y exigencias establecidas en el Nuevo Reglamento General de Protección de Datos (en adelante, RGPD) que afecta a todas las empresas y autónomos que se encuentren ubicados territorialmente o tengan establecimiento en cualquier estado de la Unión Europea, o en caso de no estarlo, presten servicios dentro de la Unión Europea.

La normativa aplicable actualmente en esta materia está regulada en Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Sin embargo, el nuevo RGPD es mucho más amplio y tiene más alcance que la vigente ley orgánica y será de aplicación a partir del próximo 25 de mayo de 2018.

Este Reglamento General surge de la necesidad de contemplar de modo más exhaustivo la protección de los datos personales que tienen acceso las empresas y autónomos fruto de sus relaciones comerciales y prestación de servicios. En particular, regula de modo más completo e integral los derechos de los ciudadanos de la Unión Europea en relación a sus datos personales facilitados a las diferentes empresas y entidades y el tratamiento de los mismos. Tener unos conocimientos básicos sobre nuestros derechos en relación al tratamiento de nuestros datos privados y de carácter confidencial y la legislación que nos ampara es absolutamente fundamental cuando estamos viviendo en esta era donde predomina las comunicaciones e interacciones de forma digital (comercio electrónico, redes sociales, utilización de smartphones, contratos a distancia, cloud computing, etc). Nuestros datos personales y privacidad pueden verse seriamente comprometidos (un claro ejemplo muy reciente sería el caso de Facebook), dado que puede haber una transferencia de los mismos de manera totalmente inconsentida ni autorizada expresamente.

Por otro lado, con este nuevo RGPD se intenta armonizar y unificar la legislaciones y normativas vigentes sobre los datos personales y la privacidad de las mismas en los diferentes estados miembros de la Unión Europea. Recordemos que este Reglamento de la Unión Europea es de aplicación directa e universal en todo el Estado español sin necesidad de tener una normativa estatal complementaria.

Es importante conocer y aplicar correctamente esta nueva normativa sobre protección de datos por parte de las empresas y autónomos que ejerzan su actividad dentro de la Unión Europea, dado que las sanciones administrativas previstas para el caso de incumplimiento, pueden llegar a ser hasta 20 millones de euros o el 4% de la facturación de la empresa.

Las principales novedades introducidas por el RGPD podemos destacar los siguientes puntos:

La exigencia por parte de las empresas a obtener el consentimiento expreso de los titulares de los datos, comunicando de manera clara su tratamiento y la finalidad que será destinada. En caso de otorgar el consentimiento para varias finalidades distintas, se deberá recabar su aprobación de manera separada y específica para cada una de ellas. A modo de ejemplo, para un despacho de abogado, se recomendaría obtener el consentimiento expreso para el tratamiento de datos de los clientes en un documento aparte, diferenciado de la hoja de encargo de servicios, y el mismo deberá estar firmado expresamente por el cliente; y, en el supuesto de que se utilizaran estos datos para otros fines distintos al servicio prestado- promoción comercial, inclusión de los datos en la página web del despacho- se tendrá de solicitar el consentimiento expreso del cliente por separado y de manera inequívoca.

En materia del consentimiento, el Reglamento introduce como novedad que los menores a partir de los 13 años podrán prestar su consentimiento personal para el tratamiento de sus datos (art. 8 del Reglamento).

En este punto destacar que hace unos meses, en la plataforma digital de la Agencia Estatal de Protección de Datos Española ha colgado varias guías prácticas para informar sobre la implantación de las nuevas exigencias de protección de datos para las empresas. Respecto a la obtención del consentimiento expreso de los clientes está recogido en la “Guía para el cumplimiento del deber de informar”. En esta guía se explica que con el nuevo Reglamento, se deberá informar a los titulares de los datos de los siguientes detalles:

  • Los datos de contacto del Delegado de Protección de Datos, en su caso,
  • La base jurídica o legitimación para el tratamiento,
  • El plazo o los criterios de conservación de la información,
  • La existencia de decisiones automatizadas o elaboración de perfiles,
  • La previsión de transferencias a Terceros Países
  • El derecho a presentar una reclamación ante las Autoridades de Control

Y además, en el caso de que los datos no se obtengan del propio interesado:

  • El origen de los datos
  • Las categorías de los datos

El nuevo Reglamento introduce nuevos derechos inherentes a los usuarios de los datos, además de los ya conocidos derechos ARCO (acceso, rectificación, cancelación y Oposición) se introduce el derecho a la portabilidad (art. 20 del Reglamento) y el derecho de supresión o “derecho al olvido” (art. 17 del Reglamento), ambos derechos son configurados en atención al principio de transparencia y minimización en la recogida de datos personales de los titulares afectados.

Según el tipo de empresa se deberá implantar el Delegado de Protección de Datos (Data Protector Officer), que se trata de una persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable para el tratamiento de datos personales por cuenta de éste. Este delegado de protección de datos asumirá las siguientes funciones principales:

  1. informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  2. supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  3. ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
  4. cooperar con la autoridad de control (en el caso de España sería la Agencia Española de Protección de Datos);
  5. actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Por otro lado, se suprime la obligación de inscripción de ficheros por parte de los responsables del tratamiento de datos ante la Agencia Estatal de Protección de Datos, ya que la misma se sustituye por un registro de tratamiento propio.

Como hemos podido observar, hay un cambio normativo bastante relevante en materia de protección de datos y se introduce numerosos aspectos muy innovadores en dicha materia, por ello, es necesario que las empresas y autónomos adopten un nuevo sistema de organización de los datos que se recopilen de los clientes, se analicen con detalle las nuevas medidas de protección y evaluación de riesgos. La configuración del nuevo plan de adecuación se recomendaría incluir un sistema de cifrado de datos para las comunicaciones entre la empresa y los clientes, a fin de proteger la confidencialidad de los datos transmitidos. Debemos recordar que una vez implantado el nuevo sistema de control, hay que practicar periódicamente una auditoria interna para verificar la plena funcionalidad y eficacia del plan acogido.

Por último, os dejo un enlace a la página oficial de la Agencia Española de Protección de Datos, donde podréis encontrar toda la normativa de referencia y las guías orientativas para la implantación de las medidas de seguridad sobre protección de datos.

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

 

Atte. Jun Wei Du del equipo de A definitivas.

 

2 comentarios en “Aplicación del nuevo Reglamento General de Protección de Datos y ¿ahora qué hago?”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s