Adaptación de las empresas a la Nueva Ley de Protección de Datos

Mar 19, 2018

MariaQ

Whitepaper

0

¿Ya estás preparado para cumplir con las exigencias del RGPD?

Hoy en día, la protección de datos es un tema que preocupa tanto a los usuarios, que deben facilitar sus datos personales en numerosas ocasiones y a numerosas entidades, como a las empresas y organizaciones que trabajan con los mismos y deben velar por su seguridad, utilizándolos dentro de los límites establecidos por la ley.

Según un barómetro del CIS publicado en marzo de 2017, al 76% de los españoles les preocupa la protección de datos personales y el posible uso de su información personal por otras personas. Los datos personales se definen como toda información relacionada con una persona física y cualquier información que directa o indirectamente permita singularizar al usuario, como elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social.

En España, actualmente este tema está regulado, entre otras, por la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD ), pero a partir del 25 de mayo de este año entrará en vigor el Reglamento General de Protección de Datos, por lo que debemos estar preparados para su cumplimiento.

La Unión Europea aprobó en abril de 2016 el Reglamento General de Protección de Datos, tras cuatro años de debate. Entró en vigor el 25 de mayo de 2016, pero será el 25 de mayo de 2018 cuando tenga que aplicarse de forma obligatoria.

El RGPD (General Data Protection Regulation, por sus siglas en inglés) otorgará un mayor control a los individuos sobre sus datos personales y afectará a todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas que traten datos dentro de la Unión Europea.

Además, las empresas de fuera de Europa también estarán obligadas a cumplir esta normativa cuando realicen actividades que impliquen el tratamiento de datos de personas residentes en la UE.

Desaparece el consentimiento tácito

Un aspecto clave del reglamento es requerir el consentimiento inequívoco de la persona cuyos datos son tratados. Esto quiere decir que se requiere una acción positiva por parte de quien presta el consentimiento; desaparece el consentimiento tácito. Habrá además que pedir el consentimiento por separado para cada una de las peticiones que se quieran realizar.

Las empresas deberán mostrar cómo y cuándo han obtenido el consentimiento del individuo, y la persona que lo desee, podrá retirar su consentimiento en cualquier momento. El Reglamento de la UE no deroga automáticamente la Ley Orgánica de Protección de Datos (LOPD), sino que simplemente anula las medidas que resulten incompatibles.

Tratamiento de los datos en el RGPD

La información en la recogida de datos personales tiene que ser clara para su fácil comprensión por parte del interesado. Los datos se deben recoger de forma limitada a lo necesario, teniendo un fin previamente establecido. También se deben mantener actualizados y almacenados garantizando su seguridad.

El tratamiento de los datos debe ser lícito, obteniendo el consentimiento inequívoco por parte del interesado para su uso.

Está prohibido el envío de datos personales fuera de Espacio Económico Europeo a un país que no ofrezca la suficiente protección a los mismos. En caso de no existir una garantía, esa transferencia puede estar limitada con determinadas cláusulas contractuales.

Novedades destacadas del RGPD

  1. El reglamento crea una nueva figura en las empresas: el DPO (Data Protection Officer), que será el encargado del tratamiento de datos, es de designación obligatoria en las empresas, sirviéndoles de apoyo y guía.
  2. Creación de un documento de seguridad o registro de actividades de tratamiento RAT, en el que, entre otros datos, se recogerá información sobre el responsable del fichero, sobre el DPO, la descripción de los fines, las categorías de interesados y destinatarios, los datos personales afectados y los plazos previstos para la supresión de los datos personales.
  3. Obligación de comunicar cualquier violación de seguridad en el plazo máximo de 72 horas. Esta notificación deberá hacerse a la AEPD (Agencia Española de Protecciòn de Datos) y al propio interesado.
  4. El derecho al olvido, que equivale al derecho de supresión, es consecuencia del derecho que tienen los ciudadanos a solicitar que sus datos sean suprimidos cuando ya no sean necesarios para la finalidad con la que fueron tomados, cuando se haya retirado el consentimiento o cuando se hayan recogido de forma ilícita.
  5. Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Además, cuando no sea posible por motivos técnicos, este deberá transferirlos directamente al nuevo responsable designado por el interesado, incluso si se trata de la competencia.
  6. Agravación de las sanciones. El RGPD traerá consigo un incremento de las sanciones para las organizaciones que no cumplan con el mismo. Las infracciones en materia de medidas técnicas y organizativas para la protección de datos, mantenimiento de registros, notificación de violaciones de seguridad y obligaciones de evaluación de impacto pueden alcanzar los diez millones de euros o bien un 2 % de la facturación global anual del ejercicio anterior.

 

Descubre en nuestro whitepaper sobre Protección de Datos más información sobre esta cobertura.

Descargar Whitepaper Protección de Datos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *