RGPD2018-10-29T09:57:47+00:00

REGLAMENTO RGPD

El Reglamento General de Protección de Datos (RGPD), publicado en mayo de 2016 y aplicable a partir del 25 de mayo de 2018, es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

La RGPD establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros automatizados y no automatizados (en papel) que poseen empresas y administraciones públicas, y que son tratados por éstas con diferentes finalidades; gestión de personal, proveedores, clientes, campañas de marketing, etc.

Más Info

1. ¿Me afecta el Nuevo Reglamento General de Protección de Datos?

  • Una entidad mercantil
  • Un autónomo
  • Una asociación
  • Una comunidad de bienes
  • Una ONG
  • Una comunidad de vecinos (propietarios)
  • Una Administración o un organismo público

SI TE AFECTA

2.Principios y características principales

Según nos indican desde la Agencia Española de Protección de Datos, el RGPD es una norma directamente aplicable, que no requiere de normas internas de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora.

Queremos destacar varias características que se incorporan al RGPD para los responsables: El principio de “responsabilidad proactiva”: la necesidad de que el responsable del tratamientoa plique medidas técnicas y organizativas apropiadas con el fin de garantizar y demostrar que el tratamiento es conforme con el Reglamento. Para ello, se requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé.

Protección de datos desde el diseño y por defecto: el responsable debe aplicar las medidas técnicas y organizativas en las primeras fases del diseño de las operaciones de tratamiento, garantizando la intimidad y los principios de protección de datos desde el minuto 0. Además “por defecto” las empresas y/u organizaciones deben de garantiza que los datos se tratan con la mayor protección, haciendo que los datos no sean accesibles a un número ilimitado de personas.

Minimización de los datos: utilizar los menos datos posibles a tratar, únicamente los necesarios.

El “enfoque de riesgo”: las medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

Por lo tanto, unas medidas se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras se deberán de adaptar al nivel y tipo de riesgo que los tratamientos presenten. También debemos de tener en cuenta, que puede ser adecuado para una organización de gran tamaño, no es necesario que lo sea para una empresa de tamaño menor.

Consentimiento expreso o inequívoco: según el nuevo Reglamento, el consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o una clara acción afirmativa. A diferencia del Reglamento de la LOPD, no se admiten formas de consentimiento tácito o por omisión. Este consentimiento queda también afectado cuando realizamos transferencias internacionales, tomamos decisiones automatizadas o realizamos el tratamiento de categorías.

Un consentimiento otorgado con anterior a la nueva reglamentación será válido si se hubiera prestado de forma afirmativa mediante una manifestación o acción.

3. Novedades en los derechos

  • Derecho de información: se debe de informar a los interesados de forma clara, accesible, por escrito (si es apropiado por medios electrónicos).
  • Derecho al olvido (vinculado al derecho de supresión): los datos ya no son necesarios para la finalidad para la que fueron recogidos, se revoque el consentimiento, el interesado se oponga al tratamiento, los datos sean tratados ilícitamente….
  • Derecho de supresión (vinculado con el derecho al olvido): cuando se hayan hecho públicos los datos del interesado y se tengan de suprimir. En ese caso, el responsable adoptará medidas razonables para informar de la supresión. Existen algunas excepciones.
  • Derecho a la limitación del tratamiento: no se aplicarán las operaciones de tratamiento de los datos personales de un interesado que así lo solicite aún en el caso de que correspondiera.
  • Derecho a la portabilidad: es una forma avanzada del derecho de acceso. El interesado tiene derecho a recibir los datos personales en formato de uso común incluso transmitirse de responsable a responsable, siempre que sea posible

Los derechos ARCO siguen en vigor (Acceso, Rectificación, Cancelación y Oposición).

El ejercicio de los derechos será gratuito para el interesado.

El responsable deberá informar al interesado sobre las actuaciones de su petición dentro del plazo de un mes (existiendo excepciones).

4. Delegado de protección de datos (DPD)

Aparece una nueva figura que es el Delegado de Protección de Datos, pero afecta únicamente a las empresas que cumplan alguno de los siguientes requisitos:

  •  Autoridades y Organismos Públicos
  • Empresas cuyas actividades principales requieran 1 observación habitual y sistemática de interesados a gran escala
  • Empresas cuyas actividades principales traten datos sensibles o sean relativos a condenas o infracciones penales gran escala.

Es el nexo de unión entre la empresa y la Autoridad de Control. Debe informar y asesorar al responsable de sus obligaciones y derechos en materia de protección de datos. Supervisar el cumplimiento de la normativa.

Se pueden subcontratar sus servicios o puede formar parte del personal de la empresa y puede desempeñar otras funciones y cometidos, siempre que no dé lugar a conflicto de intereses.

5. Registro de actividades de tratamiento

Tanto los responsables como los encargados del tratamiento tienen que llevar un registro de las actividades de tratamiento que llevan a cabo (art. 30 del RGPD).

Este registro se puede organizar partiendo de los ficheros que se notificaban hasta el 24 de mayo de 2018 en la AEPD.

6. Categorías especiales de datos

Son los datos especialmente protegidos que ya preveía la LOPD. Actualmente se incluyen también los genéticos y los biométricos.

7. Transferencias internacionales

Tenemos que considerar una transferencia internacional de datos como el tratamiento de datos personales de terceros con empresas fuera del Espacio Económico Europeo, que no sean propios de la empresa planteando un contrato de cesión de datos.

En el caso de que esto ocurra, pueden darse 3 casos:

  • Realizar la transferencia a un país adecuado según la normativa: sólo es necesario firmar contrato de encargado de tratamiento. Los países que se consideran adecuados son: – Andorra – Argentina – Canadá – Suiza – Islas Faroe, – Isla de Man – Guernesey – Nueva Zelanda – Estado de Israel – Rep. Oriental de Uruguay – EE. UU. Privacy Shield
  • Realizar la transferencia mediante garantías adecuadas: Las garantías adecuadas podrán ser aportadas, sin que se requiera de ninguna autorización expresa por una Autoridad de Control:
    • Un instrumento jurídicamente vinculante y exigible entre autoridades.
    • Normas corporativas vinculantes (NCV): Son las políticas de protección de datos personales asumidas por un responsable o encargado establecido en el territorio de la UE para transferencias de datos personales a un responsable o encargado en un país tercero, dentro de un grupo empresarial o unión de empresas, dedicadas a una actividad económica conjunto. Tienen que ser aprobadas por la autoridad de control competente.
    •  Cláusulas de tipo protección de datos adoptadas por la Comisión.
    • Cláusulas tipo adoptadas por una Autoridad de Control y aprobadas por la Comisión.
    • Código de conducta aprobado: Los códigos de conducta se crean mediante acuerdos sectoriales, convenios administrativos de adhesión voluntaria para autoregular su actividad, lo que les permite es trabajar siguiendo unas reglas o estándares específicos recogidos en esos códigos tipificados y así le facilita el cumplir con la normativa. Estos códigos tipo tienen que inscribirse en el Registro General de Protección de Datos y la Agencia los publicará.
    • Mecanismos de certificación aprobado: Los mecanismos de certificación, sellos y marcas en materia de protección de datos sirven para demostrar el cumplimiento de la RGPD en operaciones de tratamiento de responsables y encargados promovidos por los Estados miembros, las Autoridades de Control y el Comité y la Comisión.

 Realizar la transferencia basándose en excepciones:

  • a) El interesado haya dado explícitamente su consentimiento.
  • b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado.
  • c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica.
  • d) La transferencia sea necesaria por razones importantes de interés público. e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
  • f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
  • g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

8. Análisis de riesgos

El análisis de riesgos es una de las novedades más importantes que se incluyen en esta nueva legislación.

Es el proceso de análisis de riesgos en aquellas actividades de tratamiento. El tipo de análisis variará en función de los tipos de tratamiento, de la naturaleza de los datos que se traten, del número de interesados afectados o de la cantidad y variedad de tratamientos que una misma organización lleve a cabo.

9. Evaluaciones de impacto relativas a la protección de datos (EIPD)

Es un análisis de los riesgos que un determinado tratamiento puede entrañar para el derecho a la protección de datos de los afectados, con objeto de adoptar las medidas necesarias para eliminarlos o mitigarlos.

Se requerirá en caso de:

  • Elaboración de perfiles y análisis automatizado de aspectos personales
  • Tratamiento a gran escala de categorías especiales de datos personales
  • Observación sistemática a gran escala de zonas de acceso públicos

Para realizar una evaluación de impacto tenemos que tener en cuenta los datos que vamos a tratar, las medidas de seguridad que tenemos implantadas, cuáles se pueden mejorar, qué trabajadores tienen acceso a datos y a qué datos. Todo esto debe de quedar reflejado en un documento, el cual se debe de revisar periódicamente.

La agencia publicará una lista de tipos de tratamiento que también requieran de una EIPD y es posible que también elabore listas de tratamientos que no precisen de ella.

10. Notificación de violaciones de seguridad

¿Qué es una brecha de seguridad? Es toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.

Según los artículos 33 y 34 del Reglamento las brechas de seguridad deben de ser notificadas a la Autoridad de Control cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas. Si se produce una violación de la seguridad, el responsable debe notificarlo a la autoridad de control en un plazo máximo de 72 horas.

En el caso de que dicha violación pueda comportar un alto riesgo para los derechos de los interesados, el responsable deberá de comunicárselo a los afectados sin dilaciones indebidas y utilizando un lenguaje claro y sencillo.

11. Sanciones

El art. 83 del Reglamento contempla las sanciones.

Las multas pueden ascender hasta los 10M € o el 2% del volumen de negocio global del último año si, entre otras:

  • Se vulneran las obligaciones del responsable y del encargado
  • No se adoptan las medidas de seguridad apropiadas
  • No se coopera con la Autoridad de Control

O incluso hasta 20M € o el 4% del volumen de negocio global del último año si, entre otras:

  • Se incumple una resolución
  • Si se vulneran los derechos de los interesados
  • Incumplimiento de los principios básicos del tratamiento

¿Quieres que te ayudemos?

Goya Soluciones Informáticas podrá estudiar sin compromiso las necesidades de su empresa ofreciéndoles servicios de mantenimiento integral en formato tarifa plana, bolsa de horas, etc.


Esta web usa cookies y servicios de terceros. Configuración Ok

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.