Verónica
¿Estás preparado para el nuevo Reglamento General de Protección de Datos? Si no te has puesto aún con ello, no te preocupes, yo te cuento en un momentito todas las novedades y las posibles medidas que debes tomar para adaptar tu empresa a la nueva normativa. ¡Nosotros ya estamos en ello!
El nuevo Reglamento General de Protección de Datos (RGPD, en castellano y GDPR, en inglés) fue aprobado el 27 de abril de 2016 por la Unión Europea, pero no será hasta 2 años después cuando entren en vigor sus efectos. Exactamente, tenemos que estar preparados y tenerlo todo a punto para el 25 de mayo de 2018.
Como sabes, tanto este nuevo reglamente, como en general la normativa que viene a sustituir, tiene como principal objetivo la protección de las personas físicas ante el tratamiento y la libre circulación de cualquier tipo de datos personales.
Bueno, comenzamos con las novedades…
Nuevos principios
El artículo 5 del Reglamento General de Protección de Datos (RGPD) resume los seis principios a tener en cuenta en el uso, tratamiento y almacenamiento de datos de carácter personal a partir del próximo 25 de mayo de 2018. Estos son los siguientes:
Principio de licitud, lealtad y transparencia: Los datos personales deben ser tratados de forma lícita, leal y transparente.
Principio de limitación de la finalidad: Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados después de manero incompatible con dichos fines.
Principio de minimización de datos: Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento.
Principio de exactitud y calidad de los datos: Los datos personales deben ser exactos y estar siempre actualizados. Además, se establece que se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación si los datos son inexactos con respecto a los fines para los que se tratan.
Principio de conservación limitada: Los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
Principio de integridad y confidencialidad: Los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada mediante la aplicación de dmedidas de control apropiadas.
Nuevos derechos
A los ya existentes y bien conocidos derechos ARCO:
- Derecho de acceso: El derecho de acceso es el derecho a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
- Derecho de rectificación: Derecho a rectificar datos inexactos, a que se completen los datos personales incompletos, inclusive mediante una declaración adicional.
- Derecho de oposición: Derecho a oponerse al tratamiento de tus datos personas cuando por motivos relacionados con tu situación personal, debe cesar el tratamiento de tus datos salvo que se acredite un interés legítimos, o sea necesario para el ejercicio o defensa de reclamaciones o cuando el tratamiento tenga por objeto la mercadotecnia directa.
- Derecho de cancelación: Derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos.
Se les suman los siguientes derechos:
Derecho a la transparencia de la información: Sería más bien un principio, que impregna toda la nueva normativa, pero específicamente se presenta como el derecho a ser informados sobre el tratamiento que van a recibir tus datos.
Derecho de supresión (derecho al olvido): El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
Derecho a la limitación del tratamiento: Este derecho consiste en reconocer la potestad de los interesados de solicitar y obtener del Responsable del tratamiento o fichero, una limitación del tratamiento de sus datos personales cuando concurran los siguientes escenarios: Inexactitud, Ilicitud, Reclamaciones u Oposición.
Derecho a la portabilidad de los datos: el derecho a la portabilidad implica que el interesado podrá solicitar recuperar sus datos en un formato estructurado, de uso común y lectura mecánica, y poder transmitirlos a otro responsable, siempre que sea técnicamente posible.
Derecho a no ser objeto de decisiones individualizadas: Este derecho alude a la imposibilidad de ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o te afecte. Se exceptúa cuando sea necesario para la celebración o ejecución de un contrato, cuando esté permitido por el Derecho de la UE o de los Estados Miembros, con medidas adecuadas para salvaguardar los derechos y libertades del titular de los datos y exista consentimiento explícito del titular de los datos.
Otras consideraciones a tener en cuenta
Además del cumplimientos de los anteriores derechos y principios, debes tener en cuenta las siguientes medidas introducidas por el nuevo reglamento:
Las empresas deberán designar un Delegado de Protección de Datos (o Data Protection Officer en la redacción original del texto en inglés) si concurren determinadas circunstancias como que el tratamiento lo lleve a cabo una autoridad u organismo público (excepto los Tribunales en su función judicial), que la actividad principal de la empresa consista en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala o en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.
Sus funciones serán:
Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
Se establece la obligación de realizar evaluaciones de impacto antes de realizar determinados tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, mediante una consulta previa a la Autoridad de control, que es el organismo del que cada Estado miembro deberá disponer para regular, supervisar y vigilar el tratamiento de datos de carácter personal.
Se establece la obligación al responsable del tratamiento de notificar a la autoridad competente (AEPD en España) cualquier brecha de seguridad que se haya producido en el plazo de 72 horas desde que ocurra. Si la brecha de seguridad implicara un riesgo para los interesados, se les deberá notificar a ellos también.
Las sanciones se intensifican. Si hasta mayo de 2018 las sanciones van desde 900 a 600.000 euros, a partir del 25, no se establecen cuantías mínimas y las máximas pueden alcanzar los 20.000.000 euros o hasta el 4% del volumen de negocio del infractor.
Y esto es todo por hoy. Espero que te sea de utilidad y para lo que necesites, ¡aquí estamos! :)
Si te apetece, ¡deja un comentario! Compártelo en tus redes haciendo clic en los iconos de las redes sociales ;)
