Sobre el Reglamento General de Protección de Datos

Faltan unos meses para que el nuevo Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo de 2016, sea aplicable. A partir del próximo 25 de mayo, los responsables y encargados de tratamiento deberán tener implantadas las medidas necesarias para poder cumplir con la nueva normativa de protección de datos.

Se trata de una norma de aplicación directa que no requiere trasposición a los ordenamientos jurídicos nacionales.

Pese a que muchos conceptos de la antigua Directiva 95/46/CE se mantienen en el RGPD, se establecen novedades y nuevas obligaciones que cada responsable de tratamiento deberá cumplir.

Cabe destacar el principio de Accountability o Responsabilidad Proactiva como uno de los elementos más importantes y novedosos introducidos por el Reglamento.

Este principio exige una actitud consciente, diligente y proactiva por parte de los responsables frente a todos los tratamientos de datos personales que lleven a cabo. Estos deberán aplicar medidas técnicas y organizativas apropiadas para garantizar y demostrar ante los interesados y las autoridades de supervisión que el tratamiento es conforme a la normativa.

Para ello, las empresas deberán tener en cuenta los siguientes aspectos:

Transparencia e Información a los Interesados: La información que se proporcione al interesado en relación con las condiciones de los tratamientos que les afecten y como respuesta al ejercicio de sus derechos, deberá presentarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Hasta ahora, únicamente existía la obligación de prestar este tipo de información de forma expresa, precisa e inequívoca.
Cuando los datos se obtengan de otra fuente o acceso público y no del propio interesado, los responsables deberán informar a este último dentro de un plazo razonable, es decir; siempre dentro del plazo máximo de un mes desde que se obtuvieron los datos, antes o en la primera comunicación con el interesado, o antes de que los datos se hayan comunicado a otros destinatarios.

Análisis de riesgo: El Reglamento prevé determinadas medidas que se aplicarán solo cuando el tratamiento suponga un alto riesgo para los derechos y libertades. En otros casos, las medidas se deberán configurar según el nivel y tipo de riesgo del tratamiento.
Para cumplir con esta obligación, las empresas como responsables de tratamiento deberán realizar una valoración del riesgo para aplicar unas medidas u otras y la forma de llevarlas a cabo. Las medidas se ajustarán en función del tipo de tratamiento, la naturaleza de los datos, numero de afectados y la cantidad y variedad de tratamientos que se realicen.
Cada responsable deberá analizar el riesgo de los tratamientos que realice para adecuar las medidas y así cumplir con el RGPD.
Además, habrá que diferenciar entre el análisis de organizaciones de gran tamaño y de menor tamaño con tratamientos menos complejos. Las primeras deberán utilizar métodos de valoración de riesgos existentes mientras que las segundas podrán realizar un análisis más simple.

– El Consentimiento que se recoja del interesado deberá de haberse prestado de forma inequívoca, entendido como una manifestación del sujeto o mediante la realización de una acción afirmativa. El nuevo RGPD no permite la prestación del consentimiento tácito.
Aquellos consentimientos recabados con anterioridad al RGPD serán legítimos si el consentimiento se prestó acorde a las nuevas directrices.

Registro de Actividades de Tratamiento: Los responsables deberán llevar obligatoriamente un registro de operaciones de tratamiento, salvo que se traten de organizaciones con menos de 250 trabajadores. No obstante, y a pesar de que una empresa cuente con un numero de empleados inferior a dicha cifra, deberá cumplir igualmente con la obligación de registro cuando el tratamiento que realicen pueda suponer un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o contenga datos relacionados con condenas o infracciones penales.
A pesar de que un responsable de tratamiento no se encuentre en la obligación de llevar un registro, le puede facilitar la tarea de demostrar que está cumpliendo con la normativa de Protección de Datos.

Privacidad desde el Diseño y por Defecto: Cada responsable deberá por un lado y con anterioridad al tratamiento de datos personales, aplicar medidas organizativas y técnicas adecuadas para garantizar la aplicación de forma efectiva los principios del Reglamento (Privacidad desde el diseño) y de otro, deberá procurar medidas y establecer garantías para que se traten únicamente datos necesarios para cada uno de los fines específicos del tratamiento (Privacidad por defecto).

Notificar violaciones de seguridad: El responsable de tratamiento deberá notificar, en su caso, la violación de seguridad de los datos dentro de las 72 horas siguientes desde que se enteró de la quiebra, a la autoridad de protección de datos.
En caso de que dicha quiebra suponga un elevado riesgo para los derechos y libertades de los afectados, además de notificar a la autoridad competente deberá notificar a los afectados para que puedan tomar medidas para hacer frente de las consecuencias.

Delegado de Protección de Datos (DPO): El RGPD establece un garante del cumplimiento de la normativa de protección de datos que ayude al responsable o encargado de tratamiento a cumplir con la normativa de protección de datos.
Esta figura será obligatoria para autoridades y organismos públicos, responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala, el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.

Desde SCHILLER Abogados le ofrecemos nuestro apoyo y asesoramiento para implantar y cumplir con las exigencias que establece el nuevo Reglamento de Protección de Datos. Le ayudaremos a revisar y adaptar los avisos de privacidad, así como otros requisitos y obligaciones que impone la nueva normativa.

Deja un comentario