Destacamos algunas de las
novedades del nuevo Reglamento General de Protección de Datos de la UE (RGPD),
Reglamento (UE) 2016/679, que es de aplicación directa a partir del 25 de mayo de 2018.
El RGPD amplía su ámbito de aplicación a
aquellas empresas no establecidas en la Unión Europea que realicen
tratamientos derivados de una oferta de bienes o servicios destinados a
ciudadanos de la UE o como consecuencia de una monitorización y seguimiento de
su comportamiento.
El RGPD incluye la regulación de dos nuevos derechos: el derecho
al olvido y el derecho a la portabilidad. Además, establece
condiciones concretas sobre el procedimiento a seguir para atender a los
interesados en el ejercicio de sus derechos:
ü
El
derecho al olvido es la consecuencia de la aplicación del derecho al borrado de
los datos personales. Es una manifestación de los derechos de cancelación u
oposición en el entorno online.
ü
El
derecho a la portabilidad de los datos es una
forma avanzada del derecho de acceso por el cual la copia que se proporciona al
interesado debe ofrecerse en un formato estructurado, de uso común y lectura
mecánica que permita su traslado a otro responsable.
El RGPD establece un tratamiento
de datos basado en el consentimiento “inequívoco” del afectado. El consentimiento
inequívoco es aquel que se ha prestado mediante una manifestación del
interesado o mediante una clara acción afirmativa. No se admiten formas de
consentimiento tácito o por omisión, ya que se basan en la inacción.
El Reglamento prevé que el
consentimiento, además de inequívoco ha de ser explícito en algunos casos, como
para el tratamiento de datos sensibles, adopción de decisiones automatizadas y
transferencias internacionales.
Cuando el tratamiento se base en
un consentimiento otorgado con anterioridad a la
aplicación del Reglamento (UE) 2016/679, no será necesario recabar nuevamente
dicho consentimiento si la forma en que se otorgó se ajusta a las condiciones
del nuevo reglamento.
El RGPD otorga especial
importancia a la transparencia
e información a los interesados. La
información a los interesados, tanto respecto a las condiciones de los
tratamientos que les afecten como en las respuestas a los ejercicios de sus
derechos, deberá proporcionarse de forma concisa, transparente,
inteligible y de fácil acceso, con un lenguaje claro y sencillo.
El RGPD establece algunas
novedades en las relaciones
responsable-encargado:
ü
Los responsables y encargados tienen la obligación de mantener
un registro de actividades de tratamiento en el que
contenga la información que establece el RGPD. Están exentas las
organizaciones que empleen a menos de 250 trabajadores, a menos
que el tratamiento que realicen pueda entrañar un riesgo para los derechos y
libertades de los interesados, no sea ocasional o incluya categorías especiales
de datos personales o datos relativos a condenas e infracciones penales.
ü
Las relaciones entre el responsable y el encargado deben
formalizarse en un contrato
o en un acto jurídico que
vincule al encargado respecto al responsable. El RGPD regula el contenido
mínimo.
El RGPD establece un catálogo de medidas de responsabilidad
activa:
-
protección de datos desde el diseño y por defecto
-
medidas de seguridad
-
realización de evaluaciones de impactos sobre la protección de
datos
-
notificación de violaciones de la seguridad de los datos
-
promoción de códigos de conducta y esquemas de certificación
-
nombramiento de un delegado de protección de datos
-
mantenimiento del registro de actividades de tratamiento.
Los responsables de tratamiento
deberán realizar una evaluación de impacto sobre la
Protección de Datos, con carácter previo a la puesta en marcha de aquellos
tratamientos que sea probable que conlleven un alto riesgo para los derechos y
libertades de los interesados.
El RGPD establece la nueva figura del delegado de protección de datos
(DPD), que será
obligatorio en:
ü
Autoridades y organismos públicos
ü
Responsables o encargados que tengan entre sus actividades principales
operaciones de tratamiento que requieran una observación habitual y sistemática
de interesados a gran escala.
ü
Responsables o encargados que tengan entre sus actividades
principales el tratamiento a gran escala de datos sensibles.
El DPD debe ser nombrado
atendiendo a sus cualidades profesionales, y en particular, a sus conocimientos
especializados del Derecho y la práctica de la protección de datos, aunque no
debe tener una titulación específica.
El nuevo RGPD prevé sanciones
al incumplimiento que pueden alcanzar hasta los 20 millones de euros o hasta el
4% del volumen de negocio del infractor.
Actualmente, se encuentra en trámite
parlamentario, el proyecto de Ley Orgánica de Protección de Datos de Carácter
Personal que adaptará la legislación española al nuevo RGPD, y que
sustituirá a la actual Ley Orgánica.
No hay comentarios:
Publicar un comentario