Nuevo Reglamento de protección de datos | Escoem

Nuevo Reglamento de Protección de Datos

El pasado 25 de mayo de 2016 se aprobó el Reglamento General de Protección de Datos, aunque se regula un periodo de adaptación de hasta dos años, siendo de aplicación a partir del 25 de mayo de 2018.

A continuación vamos a señalar los puntos más relevantes a tener en cuenta para la correcta aplicación de este Reglamento.

Hasta ahora, los obligados a cumplir esta norma eran los responsables o encargados del tratamiento de datos residentes en la Unión Europea,  sin embargo, esta obligación se va a extender a responsables no establecidos en esta zona siempre que ofrezcan bienes o servicios a ciudadanos de la UE. Como consecuencia, estas organizaciones deben tener un representante en la UE que actúe como nexo de unión con las autoridades de supervisión y los ciudadanos, además, sus datos de contacto deben proporcionarse a los interesados junto con la información relativa al tratamiento de datos personales. De esta manera, el Reglamento pretende adaptar la Ley a la realidad del mercado, dado que con Internet no es necesario mantener una presencia física en un territorio determinado para manejar información personal.

Como novedad, el Reglamento introduce dos nuevos derechos, el derecho al olvido y el derecho a la portabilidad, que mejorarán el control de los ciudadanos sobre los datos personales que confían a terceros. El derecho al olvido da la capacidad de solicitar que sus datos personales sean suprimidos cuando se haya retirado el consentimiento o ya no sean necesarios para la finalidad con la que fueron recogidos (entre otras circunstancias). El derecho a la portabilidad permite al ciudadano solicitar la recuperación de sus datos en un formato que le permita su traslado a otro responsable.

Un aspecto fundamental del Reglamento es la responsabilidad activa, entendida como la obligación que tienen las empresas para adoptar medidas que aseguren el cumplimiento de los principios, derechos y garantías que el Reglamento establece. Por tanto, las organizaciones necesitan desarrollar una política de prevención que analice continuamente los riesgos de seguridad inherentes al tratamiento de datos personales, para así determinar qué medidas se han de aplicar.

Otro aspecto esencial es la obtención del consentimiento. El Reglamento establece que el consentimiento debe ser libre, informado, específico, inequívoco y verificable. Las empresas deben revisar la forma en la que lo obtienen y registran, ya que el denominado consentimiento tácito, aceptado en la actual normativa, dejarán de serlo cuando el Reglamento se aplique.

El RGPD amplía la información que debe ser comunicada al usuario/cliente en el momento en el que obtenemos sus datos personales. Con la antigua LOPD, sólo era necesario informar de la finalidad, los destinatarios de los ficheros, los derechos del interesado y la identidad del responsable. Sin embargo, a la información indicada anteriormente, el RGPD añade el deber de comunicar la base jurídica del tratamiento, el tiempo máximo que se mantendrán los datos, la identificación del ya mencionado Delegado de Protección de Datos (Si procede), si existe o no transferencia internacional de datos y la existencia o no de decisiones automatizadas.

Además, se regula la figura del Delegado de Protección de Datos, siendo este cargo obligatorio para multitud de empresas y entidades, al que le corresponde velar por el cumplimiento de la normativa, notificar las violaciones de seguridad, formar y concienciar al personal de la empresa.

En conclusión, este nuevo Reglamento conlleva una actuación proactiva por parte de la empresa responsable del tratamiento de datos de carácter personal, por lo que es imprescindible asumir la evolución de la protección de datos desde el diseño, garantizando el cumplimiento de la Ley.

X