El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose.
El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización, teniendo en cuenta sus propias circunstancias.
Los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales. La ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.
Novedades destacadas
Desaparecen los niveles de datos, que hasta el momento conocíamos. A partir de ahora, hablaremos de Datos Sensibles:
- Origen étnico o racial
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Datos genéticos y biométricos
- Salud
- Vida y/o orientación sexual
- Datos relativos a condenas e infracciones penales
Se van a dejar de notificar los ficheros, a partir de ahora se denominarán tratamientos y habrá que tener un registro de los mismos. (Registro de actividades de tratamiento)
Cláusulas y consentimientos legales
- El consentimiento tácito, desaparece. Ahora el consentimientodebe de ser expreso.
- La información debe ser minuciosa y aparecen nuevos derechos y deberes.
Los contratos con encargados del tratamiento de los datos:
- Se va a solicitar más información y los contratos van a ser más complejos.
- De las más importantes, cabe destacar, que hay que demostrar que se cumple con la normativa (Responsabilidad Proactiva).
Evaluación de impacto
Debe ser anterior a la puesta en marcha, de los tratamientos, que conlleven un alto riesgo para los interesados.
Supuestos en los que se considera alto riesgo:
- Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
- Tratamientos a gran escala de datos sensibles (Para saber si es a gran escala, tener en cuenta el Grupo del Artículo 29en su designación del DPD).
- Observación sistemática a gran escala de una zona de acceso público.
Obligaciones del encargado:
- Mantener un registro de las actividades de tratamiento.
- Determinar las medidas de seguridad aplicables a los tratamientos que realizan.
- Designar un DPD en los casos que sea necesario.
DPD – Delegado de protección de datos
Aparece una nueva figura que es el Delegado de Protección de Datos, pero afecta únicamente a las empresas que cumplan alguno de los siguientes requisitos:
- Autoridades y Organismos Públicos.
- Empresas que dediquen una observación habitual y sistemática de interesados a gran escala.
- Empresas cuyas actividades principales traten datos sensibles a gran escala.
El DPD puede ser un empleado de la propia empresa o se puede subcontratar, en ambos casos a tiempo completo o parcial.
Las principales obligaciones del DPD
- Velar por el cumplimiento del Reglamento.
- Supervisar la implementación y aplicación de las políticas de Protección de datos.
- Ser el interlocutor entre la empresa y las autoridades.
Sanciones
Cabe destacar el importante incremento de las sanciones para los casos en los que se cometa una infracción tipificada en el RGPD.
En el Art. 83, apartados 4 y 5 nos indican que las sanciones pueden alcanzar de 10 a 20 millones de Euros, además, en el caso de empresas, una cuantía equivalente al volumen de negocio anual global correspondiente al ejercicio anterior. Eligiendo lo que suponga mayor cuantía.