El Reglamento Europeo de Protección de Datos tendrá aplicabilidad directa en todos los Estados miembros a partir del 25 de mayo de 2018, dos años después de su publicación.

Además el 10 de noviembre de 2017 el Consejo de Ministros aprobó la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos, que tiene por objeto adaptar la legislación española a las disposiciones del RGPD.

El RGPD cambia radicalmente la forma actual de regular la protección de datos, obligando a empresas, organismos, instituciones y administraciones a cambios y esfuerzos significativos de carácter organizativo, técnico, económico y humano al imponer nuevas obligaciones y requerimientos.

Figura fundamental en este nuevo marco regulador, es la del Delegado de Protección de Datos con el que, a partir de la entrada en vigor del Reglamento, deberán contar un gran número de empresas y organizaciones, que asume nuevas y cualificadas competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos.

El Reglamento mantiene los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento.

El Reglamento introduce también la obligación, en el plazo de un mes, de información a los interesados sobre la base legal para el tratamiento de los datos, el período de conservación de los mismos; los interesados podrán dirigir sus reclamaciones a la Agencia Española de Protección de Datos.

Se incluyen los siguientes derechos de los interesados, que deberán poder ejercerse por medios electrónicos:

  • Derecho de acceso, rectificación, oposición y cancelación, y además, como novedad,
  • Derecho a la transparencia de la información,
  • Derecho de supresión (derecho al olvido),
  • Derecho de limitación, y
  • Derecho de portabilidad.

Se establece la obligación de realizar una evaluación de impacto (Privacy Impact Assesment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

Se impone una nueva obligación al responsable del tratamiento: la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.

Las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados, o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, que deberá incluir información relativa a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.

En cuanto a las medidas de seguridad, basta con que se mantenga actualizado el Documento de Seguridad, siempre que las medidas técnicas y organizativas sean adecuadas para garantizar la seguridad, integridad y privacidad de la información de carácter personal tratada.

Finalmente, y para organizaciones que tengan procesos complejos de tratamiento de datos o manejen datos especialmente sensibles, éstas deberán implementar protocolos internos o procesos de certificación que faciliten y garanticen el cumplimiento del RGPD.

Queda poco tiempo para poder ajustar las medidas de nuestras empresas al Reglamento Europeo de Protección de Datos, no dudes en preguntarnos cómo poder cumplir con dicha normativa para aseguraros el cumplimiento efectivo de dicha normativa.