Reglamento general de protección de datos (RGPD), o la nueva reglamentación LOPD

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose.

El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización, teniendo en cuenta sus propias circunstancias.

Los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales. La ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Novedades destacadas

Desaparecen los niveles de datos, que hasta el momento conocíamos. A partir de ahora, hablaremos de Datos Sensibles:

• Origen étnico o racial
• Opiniones políticas
• Convicciones religiosas o filosóficas
• Afiliación sindical
• Datos genéticos y biométricos
• Salud
• Vida y/o orientación sexual
• Datos relativos a condenas e infracciones penales

Se van a dejar de notificar los ficheros, a partir de ahora se denominarán tratamientos y habrá que tener un registro de los mismos. (Registro de actividades de tratamiento)

Cláusulas y consentimientos legales

• El consentimiento tácito, desaparece. Ahora el consentimientodebe de ser expreso.
• La información debe ser minuciosa y aparecen nuevos derechos y deberes.

Los contratos con encargados del tratamiento de los datos:

• Se va a solicitar más información y los contratos van a ser más complejos.
• De las más importantes, cabe destacar, que hay que demostrar que se cumple con la normativa (Responsabilidad Proactiva).

Evaluación de impacto

Debe ser anterior a la puesta en marcha, de los tratamientos, que conlleven un alto riesgo para los interesados.

Supuestos en los que se considera alto riesgo:

• Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
• Tratamientos a gran escala de datos sensibles (Para saber si es a gran escala, tener en cuenta el Grupo del Artículo 29en su designación del DPD).
• Observación sistemática a gran escala de una zona de acceso público.

Obligaciones del encargado:

• Mantener un registro de las actividades de tratamiento.
• Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
• Designar un DPD en los casos que sea necesario.

DPD – Delegado de protección de datos

Aparece una nueva figura que es el Delegado de Protección de Datos, pero afecta únicamente a las empresas que cumplan alguno de los siguientes requisitos:

• Autoridades y Organismos Públicos.
• Empresas que dediquen una observación habitual y sistemática de interesados a gran escala.
• Empresas cuyas actividades principales traten datos sensibles a gran escala.

El DPD puede ser un empleado de la propia empresa o se puede subcontratar, en ambos casos a tiempo completo o parcial.

Las principales obligaciones del DPD

• Velar por el cumplimiento del Reglamento.
• Supervisar la implementación y aplicación de las políticas de Protección de datos.
• Ser el interlocutor entre la empresa y las autoridades.

Sanciones

Cabe destacar el importante incremento de las sanciones para los casos en los que se cometa una infracción tipificada en el RGPD.

En el Art. 83, apartados 4 y 5 nos indican que las sanciones pueden alcanzar de 10 a 20 millones de Euros, además, en el caso de empresas, una cuantía equivalente al volumen de negocio anual global correspondiente al ejercicio anterior. Eligiendo lo que suponga mayor cuantía.