El Reglamento Europeo de Protección de Datos. Novedades.

El Reglamento Europeo de Protección de Datos. Novedades.

El Reglamento Europeo de Protección de Datos trae consigo cambios importantes.

Aunque su aplicabilidad no será obligatoria hasta mayo de 2018 y siguen siendo aplicables las normativas nacionales se avecinan cambios que todo empresario deberá asumir e ir conociendo para modificarlos o valorar la contratación de un experto que realice dichos cambios. De igual modo aquellos emprendedores que estén valorando lanzar su proyecto deberán de tener en cuenta los cambios que exige la normativa e ir adaptando su empresa conforme a ella.


Entre las principales novedades que trae consigo el nuevo Reglamento Europeo de Protección de Datos  679/2016 es importante conocer; los nuevos principios, los nuevos derechos, las nuevas obligaciones y las nuevas figuras.

Nuevos Principios:

Transparencia, Minimización de datos y Responsabilidad proactiva.

Con ellos se pretende que las empresas ofrezcan respecto del tratamiento de los datos y que la información que se le ofrezca al interesado sea concisa, clara, sencilla. Tanto en el la recogida como en el tratamiento posterior de los mismos. Que se minimice tanto su recogida que únicamente se limiten a recoger aquellos datos necesarios para la prestación del servicio sin excederse y lo más importante, la responsabilidad proactiva exige que el responsable del tratamiento sea capaz de demostrar el cumplimiento de todo lo anterior.

Estos principios vienen afectar a la empresa en diferentes acciones que conforme a la anterior normativa venían realizando en el tratamiento de sus datos, resultando de gran envergadura los cambios que se producen en el CONSENTIMIENTO y que su recogida e información deberá de ser aislada en declaración escrita sobre otros aspectos, por ejemplo, no podrá venir incluida en un articulado contractual de servicios

Nuevos Derechos

  • Derecho al olvido

  • Derecho a la portabilidad

Con el derecho al olvido (artículo 17 RGPDUE) el interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida de los datos personales cuando concurra alguna de las circunstancias recogidas en la norma y con el derecho a la portabilidad (artículo 20 RGPDUE) el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

Nuevas obligaciones

  • Registros de actividad

  • Evaluación de impacto

  • Consulta previa

Los registros ante la AEPD tiende a desaparecer pues desaparece la obligación de notificar dichos ficheros (si bien debemos esperar a las nuevas legislaciones que puedan surgir a nivel estatal sobre esta cuestión) a cambio cada persona jurídica o empresario individual que trate datos de carácter personal, tendrá La obligación de llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad y obligación que se extiende a los encargados de tratamiento y cuyo contenido de registro se desarrolla en la normativa (articulo 30)

La obligación de realizar de evaluaciones de impacto sobre la protección de datos aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos.

Esta evaluación de impacto será obligatoria cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales, esto se dará si o si cuando las empresas traten alguno de los aspectos que detallamos a continuación:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar
  • Tratamiento a gran escala de las categorías especiales de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.  (Artículo 9)
  • Tratamiento de datos personales relativos a condenas e infracciones penales
  • Observación sistemática a gran escala de una zona de acceso público.

El responsable deberá de cumplir con la obligación de realizar consulta previa a la autoridad de control antes de proceder al tratamiento de datos cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

Nuevas figuras

Autoridad de Control

La Autoridad de control será el organismo que en cada Estado Miembro regule, supervise y vigile el tratamiento de datos de carácter personal. El responsable, el encargado del tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones y ante este organismo se deberán realizar entre otras cosas; las consultas previas tras evaluaciones de impacto de alto riesgo, las notificaciones de violaciones de seguridad de datos y más funciones recogidas a lo largo de todo el Reglamento.

 

Figura del Delegado de Protección de Datos: DPO

La nueva norma exige que el responsable y el encargado del tratamiento designarán un delegado de protección de datos

Este Delgado de protección de datos DPO, será necesario en las empresas en las siguientes circunstancias;

    • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
    • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
    • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
    • El tratamiento de datos relativos a condenas e infracciones penales.

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas.

El delegado de protección de datos podrá desempeñar sus funciones en el marco de un contrato de servicios.

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

En fin, esto no es más que un pequeño resumen de todos los cambios que se avecinan que no son pocos, debiendo familiarizarnos con ellos y modificando en nuestra empresa aquellos de fácil sustitución, como puede ser, por ejemplo en la recogida de los consentimientos, formar a nuestros empleados, seleccionar proveedores… de este modo la entrada en vigor no será tan drástica.

Eso si no olvidemos que  nuestros legisladores aún deben modificar la normativa española vigente y exigible por lo que la completa actualización o adaptación LOPD pasará por la publicación de dicha norma.

Comments are closed.