El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. En este periodo transitorio, y aun cuando siguen vigentes la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento que la desarrolla, los responsables y encargados del tratamiento de datos de carácter personal deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que su aplicación sea plenamente exigible.
El Reglamento General de Protección de Datos será, como hasta ahora, de obligado cumplimiento para responsables o encargados de tratamiento de datos de carácter personal establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la U.E. siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión Europea o como consecuencia de una monitorización y seguimiento de su comportamiento.
El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.
Desde Auditoria y Certificación le damos las principales claves para adaptar su empresa, negocio o Administración Pública al nuevo Reglamento General de Protección de Datos:

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

La obligatoriedad actual de inscribir los ficheros en la Agencia Española de Protección de Datos (AEPD) por parte de aquellos que tratan datos de carácter personal, será sustituida por la obligación de contar con un registro de actividades de tratamiento.
Responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD y que incluya cuestiones como, entre otras:
  • Nombre y datos de contacto del responsable (o corresponsable) y del Delegado de Protección de Datos (DPD), si existiese.
  • Finalidades del tratamiento.
  • Descripción de categorías de interesados y categorías de datos personales tratados.
  • Transferencias internacionales de datos…
  • Etc.

ENCARGADO DEL TRATAMIENTO

La regulación de la relación entre el responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico que los vincule. Es necesario identificar de forma clara y concreta cuáles son los tratamientos de datos a realizar por el encargado del tratamiento, atendiendo al tipo de servicio prestado y a la forma de prestarlo.
Los contratos de encargo concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.

DELEGADO DE PROTECCIÓN DE DATOS

Esta figura constituye uno de los elementos claves del RGPD. Es quien se ocupa de informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD, así como de supervisar el cumplimiento de lo dispuesto en el presente Reglamento.
El RGPD establece la figura del Delegado de Protección de Datos (DPD), que será obligatorio en:
  • Autoridades y organismos públicos.
  • Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
El nuevo Proyecto de Ley Orgánica de Protección de Datos aumenta el número de colectivos obligados a contar con la figura del Delegado de Protección de Datos.

EVALUACIÓN DE IMPACTO

Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
Lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo:
  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
  • Tratamientos a gran escala de datos sensibles.
  • Observación sistemática a gran escala de una zona de acceso público.

INFORMACIÓN

La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo (la LOPD sólo exige que la información se preste de modo expreso, preciso e inequívoco).
Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que actualmente contiene la LOPD).

CONSENTIMIENTO

El Reglamento requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que actualmente permite la normativa española.
Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito:
  • Tratamiento de datos sensibles.
  • Adopción de decisiones automatizadas.
  • Transferencias internacionales.
Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

¿EXISTEN SANCIONES?

El nuevo RGPD incrementa sustancialmente el importe de las sanciones en aquellos supuestos en que se incurran en algunas de las infracciones tipificadas en el mismo.
Se prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas de 10 o 20 millones de euros, o en el caso de una empresa, de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior.
Desde AyC, nuestro personal especializado le asesorará acerca de las implicaciones que tiene el RGPD para su empresa u organización de una forma personalizada, y le ayudará a adaptarse y a cumplir con todas las obligaciones que impone el nuevo Reglamento Europeo de Protección de Datos.