"El tratamiento de datos es el petróleo del siglo XXI" Thomas Zerdick.

Protección de Datos ¿Qué es el RGPD?

El 4 de mayo de 2016 se publicó en el Diario Oficial de la Unión Europea el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

El RGPD es aplicable desde el 25 de mayo de 2018. Pretende armonizar las normativas de los países miembros de la UE, las cuales se caracterizaban por su heterogeneidad y fragmentación.

A continuación se exponen, de forma breve, las principales obligaciones que impone el nuevo RGPD:

-Registro de Actividades de Tratamiento: Desaparece la obligación de solicitar la inscripción de los ficheros responsabilidad de la empresa. En cambio, las empresas deberán elaborar dicho Registro, donde se deberá detallar toda la información relativa a cada uno de los tratamientos de datos personales que realice la empresa.

-Novedades en materia de información: Las empresas han de usar un lenguaje sencillo y claro. Los interesados deberán entender qué se va a hacer con su información personal, por lo que se deberá informar para ello mediante formulario de recogida de datos, pies de correo…

-Páginas web: Las páginas web han de facilitar información clara, sencilla y accesible sobre la recogida y uso los datos personales de los usuarios. Así mismo, las políticas de privacidad excesivamente extensas y complejas carecen de sentido. En cuanto a las cookies, el Reglamento establece la necesidad de informar mediante una ventana emergente de que dicha página web usa cookies, debiendo aceptarse o rechazarse de forma expresa.

-Consentimiento explícito: El consentimiento tácito deja de tener validez jurídica. El consentimiento deberá darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado (Considerando 32).

-Contratos de Encargado de Tratamiento: La nueva normativa establece nuevas condiciones para todos los prestadores de servicios que necesiten acceso a los datos personales responsabilidad de la empresa.

-Responsabilidad proactiva: Será la empresa quien deba de probar que efectivamente cumple con la normativa. Así mismo, desaparece el catálogo estándar de medidas de seguridad, debiendo la empresa implementar aquellas medidas que crean adecuadas en función del riesgo de las actividades de tratamiento.

-Auditorías: Las empresas responsables del tratamiento deben realizar, con carácter anual, auditorías para verificar, evaluar y valorar la eficacia de las medidas técnicas y organizativas implantadas.

-Violaciones de seguridad: Las empresas deben comunicar a la AEPD todas aquellas violaciones de seguridad de datos que detecten en el plazo de 72 horas. Del mismo modo, si dicha violación afecta a los derechos y libertades de personas, dicha comunicación también habrá de hacerse a las mismas, con un lenguaje claro y sencillo.

-Videovigilancia: Se deberá informar de forma clara y sencilla de la instalación de sistemas de videovigilancia.

-Nuevos derechos: Aparece la figura de tres nuevos derechos:

  • Portabilidad: consistente en la posibilidad de que la persona pueda solicitar el traspaso de sus datos a otra empresa.
  • Derecho de supresión: O derecho al olvido, consistente en el derecho que tienen las personas a eliminar sus datos personales de internet en determinados supuestos.
  • Limitación: Supone suspender el tratamiento de los datos en determinados supuestos.

-Evaluaciones de impacto: La empresa deberá llevar a cabo una Evaluación de Impacto cuando determinadas actividades de tratamiento conlleven un alto riesgo para los derechos y deberes de los interesados.

-Delegado de Protección de Datos (DPD/DPO): Se deberá nombrar un DPD que asegure el cumplimiento interno de la normativa en determinadas circunstancias.

-Nuevo Régimen Sancionador: Se establecen, en función de la gravedad, multas de hasta 20 millones de euros o el 4% del volumen de facturación anual global de la empresa.