El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor el pasado mayo de 2016 y será aplicable a partir de mayo de 2018 (art. 99 RGPD).
Este reglamento se aplicará de forma directa, desde el primer momento, sobre todos los sujetos obligados privados y públicos. Además, el 10 de noviembre de 2017 el Consejo de Ministros aprobó la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos, que tiene por objeto adaptar la legislación española a las disposiciones del RGPD donde se permiten incluir algunas precisiones.
En este periodo de transición en que siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación.
El nuevo reglamento europeo regula el tratamiento de operaciones sobre cualquiera de los millones de datos personales que las empresas gestionan a diario.
De acuerdo con el artículo 30 del RGPD, entre las informaciones que cada responsable y, en su caso, su representante deberá incluir en el registro respecto a cada actividad encontramos:
-El nombre y datos del contrato del responsable.
-Las finalidades del tratamiento.
-Una descripción de categorías de interesados y categorías de datos personales.
-Las transferencias internacionales de datos a un tercer país o una organización internacional.
-Cuando sea posible, plazos previstos para la supresión de datos.
-Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Existen dos elementos que constituyen la mayor innovación del RGPD para los responsables y se proyectan sobre todas las obligaciones de las organizaciones:
- El principio de responsabilidad proactiva, como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
- El enfoque de riesgo, señala que las medidas dirigidas para garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.
De este modo, de acuerdo con el nuevo reglamento RGPD a partir de mayo, el consentimiento para el uso de estos datos ha de ser inequívoco y verificable, y no tácito como hasta ahora, por lo que las empresas están obligadas a informar cuando hayan sufrido una brecha de seguridad a las autoridades de control y, dependiendo de la gravedad, a los afectados.
Análisis de riesgo
Todas las empresas, deberán analizar las vulnerabilidades informáticas y potenciales brechas a la seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques que puedan sufrir.
Evaluación del impacto
Las empresas deberán evaluar el impacto que los tratamientos de datos que realizan tienen sobre la protección de datos personales, especialmente si se hace uso de las nuevas tecnologías o si por naturaleza, contexto o finalidades supone un alto riesgo para los derechos y libertades de las personas físicas.
Encontramos tres indicadores que nos permiten entender si existe dicho alto riesgo:
- Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente.
- Tratamiento a escala de datos sensibles.
- Observación sistemática a gran escala de una zona de acceso público.
El reglamento incluye el derecho al olvido, que permite impedir la difusión de información personal a través de internet cuando su publicación no cumpla los requisitos previstos, y a la portabilidad, por el que se puede obtener una copia de los datos personales en formato electrónico para cederlos a otra compañía.
El RGPD contempla millonarias multas para las organizaciones en caso de negligencia, que pueden ascender a los 20 millones de euros o hasta un 4 % de su facturación anual, la cifra de mayor cuantía.
Además, será necesario que las empresas cuenten con un delegado de protección de datos (DPO) en sus filas cuando lleven a cabo una observación habitual y sistemática de interesados y traten a gran escala categorías especiales de datos.
Para cualquier cuestión no dude en ponerse en contacto con nuestro equipo de expertos y le daremos la mejor solución para que su negocio ahorre en materia fiscal, contable y laboral, llámenos ahora al 973 279 700 o contáctenos a través del email lleida@centregestor.es.
Nuestras oficinas se encuentran en el centro de Lleida y Tremp, aunque trabajamos para toda España.
Un cordial saludo,