Ley aplicable
El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos (RGPD), es de obligado cumplimiento a partir del 25 de Mayo de 2018 para todas aquellas empresas que traten datos de carácter personal (nombre, DNI, dirección, e-mail, imágenes de video-vigilancia, etc.) dentro de la Unión Europea. También será aplicable para aquellos responsables y encargados que pese a no pertenecer a la Unión Europea traten datos personales de ciudadanos de la Unión.
Nuestra recién aprobada Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos de carácter personal y Garantía de los Derechos Digitales (LOPDGDD), que tiene por objeto adaptar el ordenamiento jurídico español al RGPD y completar sus disposiciones, garantizando los derechos digitales de la ciudadanía.
Consentimiento explícito
Una de las novedades más importantes del RGPD y la LOPDGDD, el consentimiento para el tratamiento de los datos personales del interesado debe ser libre, informado, específico e inequívoco.
Hasta la entrada en vigor del Reglamento el consentimiento podía recogerse de forma tácita o por omisión, en cambio ahora el RGPD y la LOPDGDD establece que solo se podrá recoger el consentimiento de forma expresa, mediante una declaración clara o una acción positiva del interesado que indique su conformidad con el tratamiento.
Derechos
Toda persona debe tener control sobre sus datos personales, además de los derechos ya regulados por la ya derogada Ley Orgánica de Protección de Datos (LOPD), los llamados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) el Reglamento y la nueva LOPDGDD ofrece un mayor control sobre los datos para los interesados y se añaden a esta lista el derecho de supresión (derecho al olvido), limitación y portabilidad.
- Derecho de Acceso a tus datos personales.
- Derecho a solicitar la Rectificación de los datos personales inexactos o incompletos.
- Derecho a la Cancelación de sus datos personales que sean inadecuados o excesivos.
- Derecho de Oposición al tratamiento de sus datos personales, o a que cese el tratamiento de los mismos.
- Derecho a solicitar la Supresión de los datos cuando ya no sean necesarios para los fines que se recogieron.
- Derecho a solicitar, en determinadas circunstancias, la Limitación del tratamiento de sus datos personales.
- Derecho a la portabilidad de sus datos personales a otro proveedor de servicios o al mismo interesado.
Encargado de tratamiento
La antigua LOPD solo contenía obligaciones para los responsables del tratamiento (RT), el RGPD contiene obligaciones también para los encargados del tratamiento (ET), terceros que prestan un servicio con acceso a datos. Las relaciones entre el RT y el ET deben formalizarse con un contrato o acto jurídico. Los ET deberán tener las capacidades técnicas organizativas apropiadas para que el tratamiento cumpla los requisitos necesarios.
El RGPD y la nueva LOPDGDD amplía el contenido de los contratos firmados con los ET, estos contratos deben incluir una descripción detallada de los servicios prestados, finalidad del tratamiento, medidas de seguridad aplicadas a los tratamientos que realizan, subcontrataciones, posibles transferencias internacionales de datos, etc.
DPO
Tal y como establece el RGPD en su artículo 37 y nuestra nueva Ley Orgánica de Protección de Datos en su artículo 34, el responsable y el encargado del tratamiento designarán un delegado de protección de datos, que será la persona encargada de informar y asesorar tanto al responsable y al encargado como al personal autorizado para el tratamiento en virtud del RGPD y de cualquier otra disposición legislativa de protección de datos vigente en la UE o en los Estados miembros de la UE. Será designado atendiendo a sus cualidades profesionales y conocimientos especializados en derecho y la práctica en materia de protección de datos, siempre que:
- El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
- Las actividades principales del responsable o del encargado consistan en el tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
- Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.
El DPO servirá de enlace entre la empresa y la autoridad de control, podrá formar parte de la plantilla de la empresa o realizar sus funciones como externo mediante un contrato de prestación de servicios. La designación y los datos de contacto del DPO deben hacerse públicos por los responsables y encargados y ser comunicados a la autoridad de control.
La nueva LOPDGDD hace mención a una serie de entidades que deberán designar a un delegado de protección de datos.
EPI
La obligación de realizar una Evaluación de Impacto es la principal medida de responsabilidad proactiva que incorpora el RGPD y la nueva LOPDGDD. Consiste en analizar los riesgos que un determinado sistema de información, producto o servicio puede suponer para el derecho a la protección de los datos de los afectados y, como resultado de ese análisis, la gestión de dicho riesgos mediante la adopción de las medidas necesarias para eliminarlos o atenuarlos.
Sanciones
Nuevo Procedimiento Sancionador y las sanciones
La entrada en vigor del Nuevo Reglamento (UE) 16/679 supuso la tipificación de nuevas infracciones, que han sido recogidas en la nueva ley de protección de datos española, infracciones que pueden llegar a ser sancionadas con multas administrativas de hasta 20.000.000 de euros o tratándose de empresas, la cuantía equivalente al 4% del volumen de negocio anual correspondiente al ejercicio financiero anterior. Ello supone que no realizar contrato de encargado de tratamiento con el prestador de servicios y comunicar a terceros datos de carácter personal supondría la imposición de una multa máxima de 10.000.000 de euros o tratándose de empresas, el 2% del volumen de negocio anual del ejercicio anterior.
La imposición de multas administrativas se llevará a cabo por la AEPD.
No esperes más y adapte su empresa al nuevo Reglamento de Protección de Datos