Español Français English

91 555 58 55

Paseo de la Castellana, 161, 2ª Planta - 28046 Madrid

Español Français English

91 555 58 55

Paseo de la Castellana, 161, 2ª Planta - 28046 Madrid

Régimen General de Protección de Datos (RGPD): Aspectos a tener en cuenta

El pasado 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y cuyo cumplimento será obligatorio a partir del 25 de mayo de 2018.

A partir de dicha fecha, todas las medidas tendrán que estar implementadas y, por tanto, serán exigibles, siendo sancionables las empresas que las incumplan (con una penalización de hasta el 4% del volumen de negocio del ejercicio anterior). Entre otras novedades, el RGPD modifica:

  • El consentimiento del usuario, que deberá ser siempre explícito. Es decir, no podrán tratarse datos personales sin una declaración o una acción positiva del interesado. Desaparece, por tanto, el consentimiento tácito. Además, deben revisarse aquellos consentimientos obtenidos con anterioridad al 25 de mayo, con el fin de recabar el consentimiento expreso de aquellos que fueron conseguidos mediante el silencio o la inacción de los afectados.
  • Cambios en el deber de informar: Cuando se recogen datos personales, hasta ahora, existía la obligación de informar del fichero al que iban a ser incorporados, la identidad del responsable del tratamiento, la finalidad de la recogida de datos… Con el nuevo RGPD se deberán indicar, además, las siguientes cuestiones:
    • El plazo y criterios de conservación de la información.
    • La base legal sobre la cual se legitima el tratamiento de los datos.
    • Los datos del contacto del Delegado de Protección de Datos (DPO) cuando exista.
    • Los derechos de los afectados y forma de ejercicio: acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos, oposición, a no ser objeto de decisiones individuales y automatizadas.
  • Contratos con los encargados de tratamiento: Todos los contratos con los encargados del tratamiento (gestores, informáticos externos, empresas de marketing, etc), se deberán de actualizar y, además, es fundamental que:
    • Se detallen las obligaciones de los encargados, evaluando de nuevo las medidas de seguridad que se han de aplicar al tratamiento de los datos personales.
    • Se especifique que los datos sólo se tratarán conforme a las instrucciones del responsable del fichero o de tratamiento y que no se utilizarán con un fin distinto al establecido en el contrato.
    • Se indique que los datos no se comunicarán, ni para su conservación, a otras personas, y que quienes los traten respetarán su confidencialidad. También se debe establecer qué medidas de seguridad debe poner en marcha el encargado.
    • Se debe exigir al encargado que se comprometa a cumplir el nuevo reglamento.
    • Respecto a los contratos que ya están firmados:
      • El RGPD establece que los contratos firmados antes del 25 de mayo seguirán vigentes hasta su vencimiento. Si el contrato es de duración indefinida, hasta mayo del año 2022.
      • Sin embargo, es aconsejable que se adapten dichos contratos a las nuevas exigencias, firmando un nuevo contrato o un anexo en el que se recoja los cambios indicados.
  • Se obliga a las empresas a desarrollar una Evaluación de Impacto: Es decir, un análisis de los riesgos derivados del tratamiento de los datos personales, estableciendo el tratamiento adecuado, los responsables, las consecuencias potenciales, las medidas de seguridad, etc.

Se crea la figura del Delegado de Protección de datos que asumirá las funciones de coordinar y controlar el cumplimiento de las políticas de protección de datos de las empresas y organizaciones.

La figura del Delegado de Protección de Datos será necesaria en:

  • Las entidades y organismos públicos.
  • En las empresas privadas que realicen tratamientos de datos que supongan una observación sistemática y habitual de datos a gran escala .
  • En las empresas privadas que realicen tratamientos a gran escala de datos especialmente sensibles.

En función a estos criterios, podrían considerase incluidas, entre otras:

  • Las entidades aseguradoras y reaseguradoras.
  • Los centros sanitarios.
  • Los colegios profesionales.
  • Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencia o elaboración de perfiles.

Según establece la Agencia Española de Protección de Datos, el DPO deberá contar con conocimientos especializados de Derecho (aunque el RGPD no exige que sea jurista) y, obviamente, en Protección de Datos.

  • El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
  • La AEPD ha elaborado un esquema de certificación que permite acreditar que los DPO reúnen a la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Sin embargo, dicho certificado no es obligatorio.

Se añaden nuevos derechos para los usuarios de los datos:

  • Derecho al olvido: Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de Internet.
  • Derecho a la limitación del tratamiento: Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
  • Portabilidad de los datos. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios a otro. El derecho a la portabilidad también implica que los datos personales de ese usuario podrían transmitirse directamente de una entidad o empresa a otra, sin necesidad de ser entregados al propio usuario, siempre que ello sea técnicamente posible.

La AEPD recomienda a las organizaciones que comiencen a desarrollar medios que contribuyan a responder las solicitudes de portabilidad de los datos, como herramientas de descarga e interfaces de programación de aplicación.