El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose.

El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización, teniendo en cuenta sus propias circunstancias.

Los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales. La ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Novedades destacadas

Desaparecen los niveles de datos, que hasta el momento conocíamos. A partir de ahora, hablaremos de Datos Sensibles:

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos y biométricos
  • Salud
  • Vida y/o orientación sexual
  • Datos relativos a condenas e infracciones penales

Se van a dejar de notificar los ficheros, a partir de ahora se denominarán tratamientos y habrá que tener un registro de los mismos. (Registro de actividades de tratamiento)

Cláusulas y consentimientos legales

  • El consentimiento tácito, desaparece. Ahora el consentimientodebe de ser expreso.
  • La información debe ser minuciosa y aparecen nuevos derechos y deberes.

Los contratos con encargados del tratamiento de los datos:

  • Se va a solicitar más información y los contratos van a ser más complejos.
  • De las más importantes, cabe destacar, que hay que demostrar que se cumple con la normativa (Responsabilidad Proactiva).

Evaluación de impacto

Debe ser anterior a la puesta en marcha, de los tratamientos, que conlleven un alto riesgo para los interesados.

Supuestos en los que se considera alto riesgo:

  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
  • Tratamientos a gran escala de datos sensibles (Para saber si es a gran escala, tener en cuenta el Grupo del Artículo 29en su designación del DPD).
  • Observación sistemática a gran escala de una zona de acceso público.

Obligaciones del encargado:

  • Mantener un registro de las actividades de tratamiento.
  • Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
  • Designar un DPD en los casos que sea necesario.

DPD – Delegado de protección de datos

Aparece una nueva figura que es el Delegado de Protección de Datos, pero afecta únicamente a las empresas que cumplan alguno de los siguientes requisitos:

  • Autoridades y Organismos Públicos.
  • Empresas que dediquen una observación habitual y sistemática de interesados a gran escala.
  • Empresas cuyas actividades principales traten datos sensibles a gran escala.

El DPD puede ser un empleado de la propia empresa o se puede subcontratar, en ambos casos a tiempo completo o parcial.

Las principales obligaciones del DPD

  • Velar por el cumplimiento del Reglamento.
  • Supervisar la implementación y aplicación de las políticas de Protección de datos.
  • Ser el interlocutor entre la empresa y las autoridades.

Sanciones

Cabe destacar el importante incremento de las sanciones para los casos en los que se cometa una infracción tipificada en el RGPD.

En el Art. 83, apartados 4 y 5 nos indican que las sanciones pueden alcanzar de 10 a 20 millones de Euros, además, en el caso de empresas, una cuantía equivalente al volumen de negocio anual global correspondiente al ejercicio anterior. Eligiendo lo que suponga mayor cuantía.