Hoy os vamos a dar las principales claves para que la adaptación a la temida LOPD de España sea menos difícil. Desde Letslaw, abogados especializados en protección de datos y nuevas tecnologías, nos explican las principales claves que introduce el RGDP, que deberán tener en cuenta todas las empresas que traten datos personales, las cuales deben estar adaptadas a esta nueva normativa en el momento de su aplicación.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) entró en vigor en mayo de 2016, y será de obligado cumplimiento en mayo de 2018.
Claves del nuevo Reglamento General de Protección de Datos:
-
Ampliación del ámbito de aplicación
El RGPD será de obligado cumplimiento para todas las empresas de la UE que realicen un tratamiento de datos de ciudadanos europeos. Asimismo, será aplicable a aquellas empresas establecidas fuera de la Unión Europea que tratan datos de ciudadanos europeos en relación con una oferta de productos o servicios ofrecidos a los mismos, o con el análisis de sus comportamientos dentro de la UE.
-
Cambios en el deber de informar por parte de las empresa
El RGPD amplía el contenido de la información que las empresas deben facilitar a los interesados. En este sentido habrá que explicar la base legal para el tratamiento de los datos, facilitar los datos de contacto del Delegado de Protección de Datos (en caso de que la empresa haya designado a uno), indicar el período de conservación de los datos, e informar sobre el derecho que asiste a los interesados para dirigir sus reclamaciones a las autoridades de protección de datos si consideran que sus datos se están tratando de forma desproporcionada.
-
Cambios en la obtención del consentimiento para el tratamiento de los datos personales
El RGPD establece que el consentimiento de los interesados al tratamiento de sus datos personales debe ser libre, informado, específico e inequívoco.
Se entenderá que el consentimiento es inequívoco cuando el interesado realice una acción afirmativa para consentir el tratamiento de sus datos personales (por ejemplo, haciendo click en una casilla que no esté marcada por defecto).
El consentimiento, además de inequívoco, ha de ser explícito en el caso de tratamiento de datos sensibles, adopción de decisiones automatizadas y transferencias internacionales.
Por todo ello, aquellos consentimientos que se den por omisión o sean tácitos, serán contrarios a esta nueva normativa.
-
Nueva figura del Delegado de Protección de Datos (DPO)
La nueva figura del Delegado de Protección de Datos (DPO) será obligatoria para aquellas empresas que realicen tratamientos que requieran una observación habitual y sistemática de los interesados a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos sensibles.
El DPO debe contar con conocimientos especializados en derecho, especialmente en el nuevo Reglamento y experiencia en materia de protección de datos; capacidad para el desarrollo de las funciones que recoge el RGPD; independencia y transparencia en el ejercicio de sus funciones; comprensión de las operaciones de tratamientos y de las tecnologías de la información y seguridad de los datos.
-
Obligación de notificación de las brechas de seguridad
Se exige que las empresas notifiquen a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas cualquier violación de seguridad que suponga un riesgo para los derechos y libertades de los interesados.
-
Evaluaciones de impacto sobre protección de datos
Los responsables del tratamiento deberán realizar una Evaluación de impacto sobre la Protección de Datos antes de iniciar los tratamientos que puedan suponer un alto riesgo para los derechos y libertades de los interesados.
-
Nuevos derechos para los interesados
El RGPD contempla nuevos derechos para los interesados, además de mantener los derechos de Acceso, Rectificación, Cancelación y Oposición (Derechos ARCO).
– Derecho al olvido: No es un derecho separado de los derechos ARCO, sino la consecuencia del ejercicio de los derechos de cancelación u oposición en el entorno online, que dará lugar al borrado de los datos personales.
– Derecho a la portabilidad de los datos: Este derecho supone que el interesado puede solicitar la recuperación de sus datos al responsable de tratamiento para su posterior transmisión a otra entidad.
– Derecho de limitación del tratamiento: Con este derecho los interesados pueden solicitar que no se apliquen a sus datos personales las operaciones de tratamiento que en cada caso correspondan (como, por ejemplo, el borrado de datos)
-
Restricción de las transferencias de datos fuera de la UE
La transferencia de datos a un país fuera de la UE está limitada a aquellos países que ofrezcan una protección de datos adecuada.
-
Tratamiento de datos de menores
Se requerirá el consentimiento de los padres para recoger, procesar o almacenar datos de menores de 16 años. Se permite a los estados miembros establecer una edad inferior, siempre que no sea inferior a 13 años.
-
Mayores multas
El RGPD aplica un régimen sancionador mucho más estricto, aumentando considerablemente las sanciones. En concreto, el importe de las sanciones podrá llegar a alcanzar los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.
Pronto lanzaremos un ebook que ampliará la información. Sigue atento!
