Ordenador con imagen de candado y estrellas

Resumen del Reglamento General de Protección de Datos

Introducción

 

Hoy vamos a realizar un resumen del Reglamento General de Protección de Datos (RGPD) el cual entró en vigor el pasado 25 de mayo de 2016, dando un período de adaptación de 2 años para que las organizaciones puedan implementar la nueva normativa, pues es de obligado cumplimiento a partir del próximo 25 de mayo de 2018.

Surge con el fin de ser el marco regulador común en la protección de datos de los países de la Unión Europea.

Incluye nuevas obligaciones y derechos, nuevas figuras profesionales así como nuevas sanciones.

 

Cambios en el RGPD

 

Obligaciones y derechos de la empresa

 

Bases de legitimación

Al igual que antes, las organizaciones deben documentar la base legal de todo tratamiento de datos y proporcionar información a los interesados en el momento de recoger sus datos. Sin embargo, ya no se admite un consentimiento tácito o por omisión, sino que se debe obtener un consentimiento inequívoco por parte de la persona que nos autorice el tratamiento de los datos.

Y además de inequívoco, tiene que ser un consentimiento explícito en el caso de tratamiento de datos sensibles, adopción de decisiones automatizadas o transferencias internacionales.

 

Transparencia e información a los interesados

La solicitud de cualquier dato requiere una comunicación por escrito que sea clara y entendible de la causa y finalidad del uso de dicho dato.

Antes, sólo se requería que la información fuera expresa, precisa e inequívoca.

 

Responsabilidad activa

El principio de responsabilidad activa implica llevar a cabo las siguientes prácticas para garantizar que los tratamientos de datos se realicen conforme al RGPD:

  1. Evaluación de Impacto sobre la Protección de Datos (EIPD). Hay que revisar si los datos pueden implicar un alto riesgo para los derechos y libertades de las personas. Para ello, se puede seguir la guía de EIPD publicada por la Agencia Española de Protección de Datos (AEPD).
  2. Análisis de riesgo. Se debe realizar una valoración del riesgo durante todo el ciclo de tratamiento de los datos (origen de los datos, tipos de tratamiento, finalización del tratamiento, borrado de datos, etc.) para establecer medidas de protección.
  3. Medidas de Seguridad. El RGPD indica que los responsables y encargados establecen las medidas técnicas y organizativas de seguridad en función de los riesgos detectados en el análisis previo. Anteriormente, se determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos.
  4. Registro de actividades. Hay que guardar las operaciones de tratamiento.
  5. Notificación de “quiebras de seguridad”. Se debe comunicar la a la AEPD así como a los usuarios afectados en un plazo de 72 horas desde la quiebra.

virus en ordenador

 

Obligaciones y derechos de los interesados

 

Los interesados pueden ejercer sus derechos ARCO (Acceso-Rectificación-Cancelación-Oposición).

En cuanto al derecho de Acceso, con el RGPD el interesado puede obtener una copia de los datos objeto de tratamiento. A diferencia de antes, que se debían facilitar todos los datos del afectado, pero no copias (a excepción de la historia clínica).

Además, cuando una persona ejerce el derecho de acceso, los datos se deben proporcionar en una copia con un formato estructurado, de uso común y lectura mecánica, lo que se conoce como derecho de portabilidad.

Por otro lado, surge un nuevo derecho como extensión de los derechos de cancelación u oposición en el medio online: el derecho al olvido. Es decir, el borrado de los datos de información o divulgación.

Y también nace la limitación de tratamiento que, a petición del interesado, no se aplica el tratamiento en cuestión que solicite a sus datos personales.

 

Nuevas figuras profesionales

 

Las figuras profesionales en materia de protección de datos son el responsable y encargado del tratamiento de datos.

Con el nuevo RGPD, nace el Delegado de Protección de Datos (DPD). Este profesional es opcional para todas las empresas, pero obligatorio en los siguientes casos:

  • Empresas con tratamiento de datos sensibles (judiciales, penales…).
  • Empresas de más de 250 empleados.
  • Administraciones Públicas.

 

Asimismo, antes las obligaciones recaían únicamente en el responsable y ahora recaen también en los encargados.

 

Sanciones

 

Las sanciones por el incumplimiento de la normativa han aumentado considerablemente. En el caso de las infracciones leves no se establece un rango mínimo de cuantía hasta los 300.000 euros y en las infracciones muy graves oscilan desde los 300.000 euros hasta 20.000.000 euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

Por otro lado, ahora también puede haber indemnizaciones por daños y perjuicios para el propietario del dato.

 

Herramienta de ayuda: Facilita RGPD

 

La Agencia Española de Protección de Datos (AEPD) pone a disposición de las empresas Facilita RGPD, una herramienta gratuita para ayudar a la adecuación al RGPD.

Esta herramienta permite conocer a través de un cuestionario online de una duración máxima de 20 minutos, si los datos que tratamos son de bajo riesgo y, en este caso, permite obtener los documentos mínimos para el cumplimiento del RGPD (cláusulas informativas, contractuales y las principales medidas de seguridad).

Por último, es una herramienta de carácter anónimo, por lo que la AEPD no conserva los datos aportados una vez finalizado el cuestionario.

 

Conclusión

 

Para terminar, exponemos una tabla resumen del Reglamento General de Protección de Datos (RGPD) con los cambios aplicados antes y después del reglamento:

 

Tabla resumen Reglamento General de Protección de Datos

 

Te puede interesar más artículos de la actualidad como WhatsApp para empresas.

 

¿Te parece útil la comparativa entre el antes y después del RGPD?

¿Tienes alguna duda al respecto?

¿Conocías la herramienta de ayuda Facilita RGPD?

 

¡Estamos a tu disposición en consultas@laclave-rrhh.es!