el plazo para adaptarse al nuevo Reglamento General de normativa Protección de Datos (RGPD), es hasta el 25 de mayo de 2018. Por el momento, las empresas deben de seguir cumpliendo con la normativa actual.
Entre las novedades, se pueden destacar las siguientes:
La forma de obtención del consentimiento. La Ley admitía el consentimiento tácito, considerando la inacción o silencio como un acto de aceptación. El nuevo Reglamento exige una acción positiva por parte del interesado, para que pueda considerarse como una prueba de consentimiento. O sea, consentimiento por escrito.
Tratamiento de datos de menores. La Ley establece la edad de 14 años a partir de la cual no es necesario el consentimiento de los padres. El nuevo Reglamento fija los 16 años.
Obligación de informar en los procesos de recogida de datos personales. La Ley concede tres meses para informar al interesado de la obtención de datos por parte de terceros. El nuevo Reglamento reduce este período a un mes.
Derechos de los interesados. Además de los recogidos en la Ley (Acceso, rectificación, oposición y cancelación), el nuevo Reglamento añade los siguientes: transparencia de la información, supresión o derecho al olvido, limitación y portabilidad.
Evaluación de impacto del tratamiento de datos personales. La Ley no contemplaba este aspecto. En cambio, el nuevo Reglamento establece la obligación de realizar una evaluación de impacto, para los tratamientos de datos que impliquen un alto riesgo.
Comunicación de fallos a la autoridad de protección de datos. La Ley tampoco contempla este aspecto. Por su parte, el nuevo Reglamento establece la obligación de notificar cualquier fallo de seguridad en la empresa, a la Agencia Española de Protección de Datos y a los afectados, si los hubiera, en el plazo de 72 horas. El Delegado de Protección de Datos (DPO) es el encargado de su cumplimiento.
Registro de tratamiento de datos. No regulado en la Ley. El nuevo Reglamento establece que las empresas que traten datos de riesgo o sensibles, deberán llevar un registro de las actividades de tratamiento efectuadas, el cual deberá contener los datos personales, destinatarios, finalidad y medidas de seguridad, entre otros. La AEPD aún no ha facilitado un formato oficial.
Aplicación de medidas de seguridad. La Ley establece diferentes medidas de seguridad, en función del nivel (básico, medio o alto), las cuales deben de concretarse en el Documento de Seguridad. En cambio, el nuevo Reglamento aplica determinadas medidas en función de los riesgos, alcance, naturaleza, costes y fines del tratamiento. Esto es, medidas técnicas y organizativas apropiadas, para garantizar un nivel de seguridad adecuado al riego, sin concretar el tipo de medidas a aplicar.
Delegado de Protección de Datos (DPO). La Ley nombra al responsable de seguridad, cuya función es obligatoria en caso de tratamientos de ficheros con datos de nivel medio o altos, y son los encargados de que se cumplan las medidas establecidas en la LOPD. En cambio, el nuevo Reglamento introduce una nueva figura, el DPO, la cual será obligatoria cuando el tratamiento se lleve a cabo por un organismo público, cuando el tratamiento requiera una observación habitual y sistemática de datos a gran escala, o cuando el tratamiento sea a gran escala de categorías especiales o de condenas o infracciones penales. Entre sus funciones destacan las siguientes:
- Informar y asesorar al responsable de las obligaciones para cumplir con el RGPD.
- Supervisar la asignación de responsabilidades, formación del personal y auditorías.
- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
- Supervisar la respuesta de las solicitudes de la autoridad de control.
- Ser el punto de contacto con las autoridades de control.
Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación. No quedan regulados estos conceptos en la LOPD. El nuevo Reglamento defiende la responsabilidad proactiva (accountability), con el fin de garantizar el cumplimiento con carácter previo al tratamiento y durante dicho tratamiento. Como mecanismos de cumplimiento, el RGPD propone la adhesión a códigos de conducta o mecanismos de certificación.
Con el motivo del mantenimiento de Protección de Datos que realizamos habitualmente, queremos aprovecharlo para realizar la adecuación a la próxima normativa.
Recalcamos, que esta adaptación es de obligado cumplimiento.