El pasado 25 de mayo del 2016 entró en vigor el Reglamento (UE) 679/2016 General de Protección de Datos (RGPD) aprobado por el Parlamento Europeo y el Consejo Europeo, y que será directamente aplicable el 25 de mayo de 2018, por lo que todas los Estados, Instituciones, entidades y empresas tienen hasta esta fecha para adaptar sus actividades a la nueva normativa europea.

Este Reglamento sustituye a la normativa interna vigente y su articulado es de aplicación directa en los Estados Miembros, por lo que los Responsables deben tener en cuenta que la norma o el marco de referencia a partir de ahora será el RGPD y no las normativas internas de los Estados miembros, como sucedía hasta ahora con la Directiva 95/46, derogada por el Reglamento. No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Los principales cambios que incluye el RGPD son:

– El Reglamento establece que el tratamiento basado en el consentimiento del interesado solo puede derivarse de una acción afirmativa e inequívoca. Por lo que ya no es válido el tratamiento basado en el consentimiento tácito del interesado.

Además el consentimiento deberá ser explícito cuando se traten datos sensibles, se adopten decisiones automatizadas o se produzcan transferencias internacionales. Por otro lado, la revocación del consentimiento debe ser tan fácil como su prestación.

– Las exigencias para cumplir con el deber de informar aumentan en el RGPD, se deben evitar fórmulas farragosas, las cláusulas informativas deben ser claras y accesibles, se debe aportar mayor información al interesado, y en caso de ir dirigidas a menores se deberá adaptar el lenguaje a su edad.

– Se incorporan nuevos derechos como el derecho al olvido, que supone la manifestación de los derechos de cancelación u oposición en el entorno online y en especial en los motores de búsqueda.

Se incorpora el derecho a la limitación del tratamiento, que implica que, a petición del interesado, no se aplican las operaciones de tratamiento que corresponderían. En esta situación los datos personales afectados deberán marcarse con algún tipo de distintivo que evite que sean tratados durante el tiempo establecido. Esta situación puede derivarse de una reclamación o ejercicio de derecho (supresión, oposición o portabilidad de los datos) en el tiempo desde que se recibe hasta que se resuelve su procedencia o no.

También se incluye el derecho a la portabilidad de los datos, pudiendo ser transmitidos al interesado o a otro Responsable cuando el tratamiento sea por medios automatizados, se base en el consentimiento o en una relación contractual, si los datos proceden del interesado y no afecta negativamente a los derechos y libertades de otros.

– Adquieren gran importancia las certificaciones y los Códigos de conducta del Responsable y del Encargado del Tratamiento, como muestra de cumplimiento de las nuevas exigencias legales.

– En cuanto a la relación que se establece entre el Responsable y el Encargado del Tratamiento las exigencias aumentan. Ya no es suficiente el cumplir, si no que se deben adoptar medidas que aseguren el cumplimiento del Reglamento, tanto por parte del Responsable como del Encargado.

El Responsable está sometido a un principio de responsabilidad activa por lo que debe buscar garantías del cumplimiento de la normativa de protección de datos (Códigos de Conducta, certificaciones, etc.) por parte de los Encargados en el momento de su elección.

– En todo el tratamiento debe imperar el principio de responsabilidad proactiva (accountability), realizándose un análisis de los riesgos que implican el tratamiento de datos personales, y, en base a ello, estableciendo la protección de datos desde el diseño y por defecto, con medidas de seguridad adecuadas para evitar cada riesgo.

– En caso de producirse una violación de seguridad se establece la obligación de notificarla en las 72 horas siguientes a la autoridad de control si supone un riesgo para los derechos y libertades de los interesados, y además deberá ser notificada a los interesados si supone un alto riesgo para sus derechos, incluyendo recomendaciones a realizar para mitigar los efectos.

– Se incluye la figura del Delegado de Protección de Datos, que será obligatorio para autoridades y organismos públicos, entidades con tratamientos habituales y sistemáticos de interesados a gran escala, o cuando se traten datos especialmente sensibles.

Esta persona será nombrada por sus cualificaciones profesionales y sus conocimientos en Derecho y en Protección de Datos; y sus funciones principales serán las de informar y asesorar, y supervisar el cumplimiento del RGPD.  Se establecerá una relación de prestación de servicios con una persona interna o externa, física o jurídica (pero nombrando al responsable último dentro de la entidad). Es fundamental que no exista ninguna posibilidad de conflicto de intereses.

– En cuanto a las transferencias internacionales, los datos solo podrán ser cedidos fuera de la Zona Económica Exclusiva: a países sobre los que la Comisión haya adoptado una decisión favorable, cuando se hayan ofrecido garantías adecuadas o por una necesidad vinculada al interés del titular. En todo caso, deben ir autorizadas por la Agencia de Protección de Datos del país donde se emite.

– El Nuevo Reglamento General de Protección de datos ha aumentado muy considerablemente las sanciones pudiendo llegar hasta los 20.000.000 de Euros.

Hace unos días la Universidad Internacional Menendez Pelayo celebró un curso acerca del Reglamento Europeo en Protección de Datos (#LOPD) y, como no podía ser de otra forma, Rapinformes #LOPD estuvo allí al más alto nivel con sus dos gerentes: Carmen Mayorga y Juan Ramón Pérez.

El curso fue abierto por Dª. Mar España Martí, Directora de la Agencia Española de Protección de Datos (AEPD) y clausurado por D. Rafael Catalá Polo, Ministro de Justicia.

El curso estaba orientado a hacer un recorrido por el Nuevo Reglamento Europeo de Protección de Datos, e hizo hincapié en su aplicación práctica.

Ahora toca que nuestros clientes estén completamente adaptados a la Nueva normativa para evitar penalizaciones y multas que, seguramente, les lleguen a las empresas que no sepan adaptarse al Nuevo Reglamento Europeo en LOPD.

¿Alguna Pregunta?

Si quieres saber más o tienes alguna duda acerca del Nuevo Reglamento Europeo, no dudes en comentar o en ponerte en contacto con nosotros.