El 25 de Mayo de 2018 entró en vigor el Reglamento General de Protección de Datos (UE) 2016/679 (en adelante RGPD). El RGPD constituye un avance para el control y la protección de los datos personales de los ciudadanos al ser un derecho fundamental, estableciendo un régimen de protección de datos aplicable a todos los Estados de la Unión Europea de manera directa.
Todas las empresas deberán adaptarse al RGPD aprobado por el Parlamento Europeo que armoniza las obligaciones de las empresas en materia de protección de datos y el derecho a la privacidad de las personas.
En Denemax Consulting ofrecemos una solución integral de adecuación al RGPD, proporcionando un servicio adaptado a las necesidades de cada cliente, análisis y diagnóstico de la situación de la empresa en esta materia y evaluaremos los riesgos por posibles incumplimientos, por tanto, la máxima garantía de una verdadera adaptación.
Con un asesoramiento integral de calidad y tras un estudio previo de su actividad, documentaremos procedimientos, cláusulas y contratos, localizaremos los hábitos y métodos empleados que pueden originar situaciones de riesgo y, fundamentalmente, definiremos la Política de Protección de Datos que debe imperar en su actividad, incluyendo las medidas protectoras que contribuirán a evitar cualquier incidencia.
El RGPD propone un cambio de enfoque sustancial en la manera de abordar la protección de datos: este cambio de enfoque se origina en el mayor autogobierno que otorga el RGPD a las personas sobre su propia información personal y esto implica un cambio muy importante en la forma de informar y recabar el consentimiento que se impone a los responsables de tratamiento.
El RGPD es más exigente respecto a las empresas, entidades y profesionales, ya que no solo los obliga a establecer medidas más conscientes y diligentes, necesarias para asegurar el adecuado tratamiento de los datos personales que posean y gestionen, sino que, además, los insta a demostrar que lo están haciendo.
Principales novedades del RGPD
- Privacidad desde el diseño y por defecto. El RGPD parte de la idea de accountability, por la que la responsabilidad de quien trate datos personales no existe sólo en caso de infracción, sino que se debe ser diligente a la hora de adoptar todas las medidas necesarias para el cumplimiento normativo. Para ello, el Reglamento consagra el principio de privacy by design, o privacidad por diseño, por el que las medidas de protección de datos personales se aplican desde el momento de diseñar el tratamiento, para garantizar el complimiento con la normativa. Además, de acuerdo con el principio de privacidad por defecto, se limitará el uso de datos y su conservación, así como el acceso a los mismos, al mínimo necesario para llevar a cabo el tratamiento.
- Análisis de riesgo y evaluación de impacto. En ciertos casos, el Responsable de Tratamiento deberá realizar un Análisis de Riesgo y una Evaluación de Impacto, de las operaciones de tratamiento antes del inicio de estas, que determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.
- Principios de transparencia y minimización. Las organizaciones, al tratar datos personales, deben proporcionar mayor información y de un modo más inteligible, completo y sencillo, lo que favorecerá la toma de decisiones por el ciudadano, aportándole la información necesaria para posibilitar el ejercicio de sus derechos.
- Consentimiento. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
- Registro de operaciones de tratamiento. En algunos supuestos las empresas deben llevar un registro de todas las categorías de actividades de tratamiento de datos personales efectuadas bajo su responsabilidad (Principio de trazabilidad).
- Comunicación de brechas de seguridad a la AEPD. Notificación de incidentes de seguridad con datos personales implicados. Notificaciones a realizar en dos direcciones:
- Notificación a las Autoridades de Supervisión: En un periodo relativamente corto (72 horas) se debe dar, y por tanto estar preparado para obtener la información, importantes detalles de la incidencia: descripción del incidente, datos implicados, personas afectadas, impacto, medidas aplicadas (nuevas o previamente ya planificadas),…
- Notificación a las personas implicadas: Siempre, previa notificación anterior, y de acuerdo a las instrucciones de la Autoridad, y a no ser que se exima de dicha obligación, comunicación del incidente a todas las personas implicadas.
- Nuevos Derechos de los interesados. Se establecen 3 nuevos derechos, además de los ya existentes (ARCO):
- Limitación del Tratamiento. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
- Portabilidad de los datos. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
- Derecho al Olvido. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
- Establecimiento de nuevas categorías especiales de datos. Los datos biométricos y genéticos se incorporan a la categoría de datos sensibles que precisan una especial protección, por su naturaleza o por la relación con los derechos y libertades fundamentales de los interesados.
- Creación de la nueva figura del DPO/DPD. El DPD asume la misión de garantizar la correcta aplicación de la legislación en materia de protección de datos por parte de la empresa o entidad para la que preste sus servicios. (Ampliar información) (Enlace)
- Aplicación del concepto “ventanilla única”. Para que los interesados puedan efectuar trámites, aunque estos afecten a Autoridades de Control de otros Estados miembros.
- Incremento muy significativo de las sanciones. Se prevén básicamente dos niveles de sanción:
- Primer nivel: Hasta 10 millones de euros o 2% del volumen de negocio total anual global del ejercicio financiero anterior (por ejemplo por la no implantación de medidas de seguridad).
- Segundo nivel: Hasta 20 millones de euros o 4% del volumen de negocio total anual global del ejercicio financiero anterior (afectación directa a principios y derechos de las personas).
Adicionalmente, las Autoridades de Control, en caso de sanción, llevarán a cabo una supervisión de la aplicación de las medidas que se hayan estimado necesarias, y su no implantación, implicará nuevas sanciones.
El RGPD contempla que el Responsable o el Encargado del tratamiento, deba indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del Reglamento.