Principales novedades del Reglamento General de Protección de Datos (RGPD)

• 4 abril, 2018
• Prestigia Seguridad
• sin comentarios

Dentro de poco menos de dos meses será plenamente aplicable el Reglamento General de Protección de Datos (RGPD), un nuevo texto legislativo que establece el mismo marco normativo para todos los países de la Unión Europea y que introduce cambios jurídicos, técnicos y organizativos relevantes.

En primer lugar, es importante tener en cuenta que el RGPD aplicará tanto a entidades de la UE como de fuera de la misma si tratan datos de personas de la UE; así, las grandes plataformas que procesan y almacenan datos personales (tales como Facebook, Google o MailChimp) también deberán cumplir con el nuevo régimen jurídico y ello representa un importante punto de inflexión.

Además de reforzar algunas obligaciones ya existentes en la normativa española actual (LOPD), el RGPD prevé un nuevo principio rector, el principio de responsabilidad proactiva o accountability, en virtud del cual las entidades deben introducir en sus organizaciones la cultura del cumplimiento en el ámbito de la protección de datos para que adopten las medidas técnicas y organizativas que sean necesarias para asegurar que están en condiciones de cumplir con los principios, derechos y garantías del RGPD.

Junto con ello se introducen una serie de novedades que resumimos a continuación:

1. Registros de Actividades de Tratamiento. Se sustituye la obligación de inscribir los ficheros con datos de carácter personal en el Registro General de la Agencia Española de Protección de Datos (AEPD) por el de implementar un registro escrito de todas las actividades de tratamiento de datos.

2. Información. Se deberá informar más y mejor a las personas acerca del tratamiento de sus datos. Por ejemplo, habrá que informar de la base jurídica del tratamiento, del plazo de conservación de los datos, del derecho a revocar consentimiento o de reclamar ante la Autoridad de Control, entre otros.

Dicha información debe facilitarse con un lenguaje claro y sencillo. Por ello, la Autoridades de Control españolas (AEPD, Autoritat Catalana de Protecció de Dades y Agencia Vasca de Protección de Datos) recomiendan cumplir el deber de información a través de un sistema de doble capa, de manera que:

• En la primera capa se incluya información básica y resumida del tratamiento de los datos.

• En la segunda capa se incluya información adicional, mediante un sistema de preguntas y respuestas sencillas.

3. Consentimiento. Se exige, con carácter general, un consentimiento inequívoco que, a criterio de las Autoridades de Control, no puede ser tácito dado que el RGPD exige una manifestación inequívoca del interesado o clara acción afirmativa.

4. Encargados de tratamiento. Obligación de elegir Encargados de Tratamiento que ofrezcan “garantías suficientes” para aplicar medidas técnicas y organizativas apropiadas, y se añade nuevos requisitos a incluir en los contratos a suscribir con cada uno de ellos.

5. Medidas de seguridad. Se sustituye el régimen exhaustivo y detallado actual ya que el RGPD únicamente prevé que hay que establecer medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo que las entidades deberán realizar.

6. Derechos de los afectados. Además de introducir algunas novedades en relación con los derechos de Acceso y Oposición, se sustituye el derecho de Cancelación por el Derecho de Supresión/Derecho al Olvido y se introducen nuevos derechos como el derecho de Limitación (derecho a obtener la limitación de los datos cuando se cumplan determinadas condiciones) o el de Portabilidad (derecho a recibir los datos personales de forma estructurada, de uso común y lectura mecánica para transmitirlos a otro Responsable del Tratamiento).

7. Notificación de violaciones de seguridad. Obligación de notificar las violaciones de los datos personales a la AEPD, sin dilación indebida y a ser posible, antes de las 72 horas.

8. Delegado de Protección de Datos. Se prevé una nueva figura, la del Delegado de Protección de Datos, destinada a asesorar y supervisar el cumplimiento del RGPD en las entidades, siendo obligatorio su designación en los supuestos de tratamiento realizados por Autoridades u Organismos públicos o cuando las actividades principales consistan en operaciones que requieran evaluaciones de perfil o de tratamientos de datos sensibles a nivel masivo así como tratamientos de datos relativos a condenas e infracciones penales.

Finalmente, hay que tener presente que la nueva normativa también es más dura a la hora de sancionar las eventuales infracciones que se produzcan en este ámbito ya que se prevén multas que pueden llegar a ser de hasta 20 millones de euros o, en el caso de empresas, de un importe equivalente al 4% del volumen de negocio anual del ejercicio fiscal anterior.

*Post invitado, por Eloi Font, director de Font Advocats, partner legal de Prestigia Seguridad