La entrada en vigor del nuevo Reglamento europeo de protección de datos en 2016 (Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de éstos datos, en adelante RGPD) ha traído muchos cambios importantes de obligado cumplimiento no solo para las grandes empresas, sino para toda persona física o jurídica que trate datos de carácter personal, ya sean Responsable o Encargados del tratamiento de los datos. En este aspecto hay que tener en cuenta que independientemente del sector al que uno se dedique, siempre hay tratamiento de datos personales.

Cambios más importantes con la entrada en vigor del RGPD

El RGPD será de obligado cumplimiento a partir del 25 de mayo de 2018 y hay muchos cambios que toda persona que trate datos debería conocer: https://www.boe.es/doue/2016/119/L00001-00088.pdf

  1. Consentimiento expreso del interesado: se exige obtener el consentimiento expreso de la persona. Ya no se permitirá obtener el consentimiento de forma implícita, a partir de ahora deberemos informar de forma clara y sencilla, inequívoca, transparente y legible sobre cómo y para qué vamos a utilizar los datos personales de cada persona. Al consentimiento expreso hay que añadir la obligación del Responsable de informar al interesado sobre el tratamiento que realiza, la finalidad, a quien cede los datos, el contacto para ejercer sus derechos y otros datos muy importante. Especial mención merece el consentimiento que se obtiene a través de las páginas web.
  2. Realizar evaluaciones de impacto/Informes PIA: los Responsables y Encargados deberán realizar informes para determinar que riesgos supone el tratamiento de los datos que hacen, cómo prevenir posible fugas de datos, establecer protocolos de actuación en caso de que éstos se pierda, etc.
  3. Llevar a cabo un Registro del tratamiento: si hasta ahora la LOPD exigía registrar ante la Agencia Española de Protección de Datos (AGPD) los Ficheros de los Responsables del tratamiento de datos, a partir de ahora será obligatorio llevar una Registro del tratamiento que se realice, esto es: que datos se recogen, para qué se utiliza la información; medidas que se aplican para garantizar un nivel de seguridad adecuado, y un largo etcétera que se detalla en el RGPD. Estos registros de tratamiento deberán hacerse públicos y por ello es aconsejable continuar inscribiéndolos ante la AGPD como se ha hecho hasta ahora.
  4. Demostrar de manera fehaciente el cumplimiento del RGPD: todo Responsable y Encargado deberán poder demostrar ante la autoridad que están adoptando todas las medidas necesarias para garantizar un nivel de seguridad adecuado en el procesamiento de los datos que tienen en su poder. Todas estas medidas pueden estar avaladas por certificaciones, códigos de conducta, aprobación de protocolos de actuación por empresas certificadoras, formación del personal, permitirán demostrar que tanto el Responsable como el Encargado del tratamiento cumplen con el Reglamento europeo.
  5. Necesidad de Delegado de Protección de Datos (DPO): quizás es la mayor novedad del Reglamento, y es la obligación de determinados Responsable de tener un DPO. El artículo 37 y siguientes del RGPD establecen los supuestos en que es obligatorio que las empresas o Responsables que se dedican a un determinado sector dispongan de un DPO.
  6. Modificación de los derechos de los interesados: otro de los cambios más importantes que trae el RGPD es la modificación y ampliación de los derechos ARCO de la actual LOPD. Con el nuevo Reglamento los derechos de las personas pasan a ser los de acceso, rectificación, supresión, portabilidad, limitación y oposición.
  7. Aumento del control y sanciones por parte de las Autoridades: el Reglamento no solo aumenta de manera notoria las sanciones, también encomienda y prácticamente obliga a las Autoridades de control a mantener una supervisión constante de las empresas que tratan datos personales. Las nuevas sanciones pueden alcanzar los 10 o 20 millones de euros; cuantías que equivalen al 2% y 4% del volumen de negocio de cada empresa, optando en todos caso por la sanción de mayor cuantía. Además con el RGPD las sanciones de la Agencia serán con efectos inmediatos, sin necesidad de pasar previamente por un Juzgado.

Consultora de Protección de Datos

Y es en todo esto donde una empresa de protección de datos como Rapinformes puede ayudarte.

La obligación del cumplimiento y adaptación al Reglamento europeo por parte de las empresas requiere, como se ha dicho, poder demostrar fehacientemente que se cumple con la Ley. La aprobación de códigos de conducta, establecer protocolos de actuación, formación del personal, disponibilidad de cláusulas específicas para solicitar el consentimiento, capacidad para contestar al ejercicio de los derechos de las personas, llevar un Registro del tratamiento, adaptación de las páginas web (en caso de tenerla) y un sin fin de medidas que a día de hoy las PYMES no se pueden permitir cumplir por su cuenta.

Teniendo en cuenta el aumento del control y las sanciones por parte de la AGPD, es prácticamente necesario contar con una consultora de privacidad y un equipo de profesionales que permitan cumplir con las exigencias reglamentarias.