El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.
El nuevo Reglamento europeo (RGPD) pretende que todas las empresas y organizaciones que tratan datos de ciudadanos europeos, sean locales o Internacionales, se atiendan a una única legislación en toda la UE, evitando así diferencias de criterios y regímenes sancionadores según el país en el que se realice el tratamiento. Con el RGPD, se pretende propiciar una verdadera cultura de la privacidad. La figura del consultor de privacidad es de gran relevancia para alcanzar este objetivo, para asesorar en los procedimientos a implementar y resolver las Incidencias que se puedan producir El RGPD entró en vigor en mayo de 2016 y será aplicable a partir del mayo de 2018. En este periodo los responsables y encargados de tratamiento deben Ir adoptando las medidas necesarias para cumplir la nueva normativa en el momento de su aplicación.
El RGPD contiene muchos conceptos similares a los establecidos en la LOPD, sin embargo contiene nuevas obligaciones. El RGPD es de obligado cumplimiento para cualquier persona física o jurídica, autoridad pública, servicio u organismo que realice un tratamiento de datos personales de ciudadanos residentes en la UE
La nueva normativa exige que las violaciones de seguridad que puedan afectar a los datos personales sean notificadas en un plazo máximo de 72 horas a la Autoridad de Control correspondiente (Agencia Española de Protección de Datos).
Si además si en esa violación se pueden ver afectado datos de carácter sensible y con gran repercusión a los afectados, también se lo deberá notificar a estos mismos.
Esta responsabilidad activa se refiere a la necesidad de prevención por parte de las organizaciones que manejan datos personales.
Las empresas y entidades deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece.
El RGPD entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, debido a que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar.
Para ello todas las organizaciones que tratan datos deben efectuar un análisis de riesgo de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.
Estos análisis pueden ser procedimientos sencillos en entidades que no llevan a cabo más que unos pocos tratamientos elementales que no supongan, por ejemplo, datos especialmente protegidos, o trabajos más complejos, en entidades que desarrollen muchos tratamientos, que afecten a gran número de personas o que por sus características requieren de una valoración cuidadosa de sus riesgos.
El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.
Las empresas deberán revisar la forma en la que obtienen y guardan el consentimiento.
Actualmente existen prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas con la actual normativa pero dejarán de serlo cuando el Reglamento sea de aplicación.
Para poder considerar que el consentimiento es “incuestionable”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que apunte al acuerdo del interesado.
La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos.
Se exige que el consentimiento tenga que ser “manifiesto” en determinados casos, como puede ser para autorizar el tratamiento de datos sensibles.
Por tanto, el consentimiento tiene que ser verificable y quienes recopilen datos personales deben poder probar que el afectado les concedió su consentimiento.
El GDPR le dedica una sección entera a una nueva figura, dada la relevancia que tiene para el futuro: el Delegado de Protección de datos (Data Protection Officer).
Esta persona es el asesor de protección de datos de la empresa, y asume competencias en materia de coordinación y control del cumplimiento de la normativa en materia de protección de datos.
Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar con un delegado las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.
Entre las funciones que le serán encomendadas a un delegado de protección de datos se encuentran, entre otras, las siguientes:
- supervisar la implementación y aplicación de las políticas internas
- realizar formación al personal
- organizar y coordinar las auditorías
- gestionar la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos
- velar por la conservación de la documentación
- supervisar la realización de la evaluación de impacto
- actuar como punto de contacto para la autoridad de control
El Delegado de Protección de Datos deberá ser designado con cualidades profesionales y, en particular, con conocimiento experto de la legislación y prácticas de protección de datos y la capacidad de cumplir con las tareas impuestas por el GDPR.
El Delegado puede elegirse de entre personal existente en la organización del responsable de los Datos o cumplir las tareas a través de un contrato de servicios.
