¿Qué es el Reglamento Europeo de Protección de datos personales (RGPD)?

 El Reglamento General de Protección de Datos (Reglamento de la UE 2016/679) es el nuevo marco jurídico de la UE que rige el uso de los datos personales. Este texto deroga la actual Directiva 95/46/CE de protección de datos y obliga a una nueva redacción de las  leyes de protección de datos nacionales existentes, en España, la Ley 15/1999 de Protección de Datos (LOPD). El texto será plenamente aplicable en todos los países de la Unión Europea de desde 25 de mayo de 2018.

¿Qué principales novedades introduce el RGPD?

Las principales novedades tienen que ver con un cambio de mentalidad, en el que la justificación del cumplimiento de la normativa cambia desde los requisitos formales, como el notificar los ficheros a la Autoridad de Control a una la responsabilidad proactiva que es necesario además poder acreditar, mediante la justificación meditada de la toma de decisiones y elecciones de proveedores y aplicaciones que intervengan en el tratamiento de datos personales, siempre con la Seguridad presente como punto de partida, ya que la Seguridad de los datos debe formar parte de la política de empresa por defecto y desde el diseño.

¿Qué obligaciones concretas existen para las pymes?

                       Para aquellas pequeñas y medianas empresas que ya cumplen con la LOPD los cambios que necesitarán hacer con carácter general son:

-          Actualizar las clausulas informativas al nuevo contenido detallado en los artículos 13 y 14 (informar de plazo de conservación de los datos, de la norma habilitante para el tratamiento legal, de la finalidad detallada y en su caso de los destinatarios de la información).

-          Notificar las brechas de seguridad que se produzcan tanto a los interesados como a la Autoridad de Control (Agencia Española de Protección de Datos).

-          Revisar que sus Encargados de Tratamiento ofrecen suficientes garantías de cumplir con la normativa de Protección de Datos.

-          Elaborar un registro de actividades de tratamientoen el que se detalle (identidad del responsable, finalidad del tratamiento, destinatarios, tipo de datos y detalles del tratamiento, así como plazo de supresión de los datos), para cualquier tratamiento salvo los ocasionales.

-          Someter a Evaluación de impacto determinados tratamientos de datos   que entrañen probablemente un ‘alto riesgo para los derechos y libertades de las personas físicas’ en particular según indica el artículo 35 del RGPD: 

“a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c) observación sistemática a gran escala de una zona de acceso público.”

-          Revisar que los consentimientos obtenidos de los interesados para tratar sus datos (por ejemplo a través de formularios, suscripciones a servicios, contratos, etc) cumplen con determinados requisitos: debe ser libre, específico, informado e inequívoco y debe prestarse mediante una declaración o clara acción afirmativa, el pesa sobre el responsable el deber de demostrar tal consentimiento.

-          En el caso de datos sensibles (salud, ideología, datos biométricos) el consentimiento debe ser además explícito.

-          Asegurarse de que los servidores de las aplicaciones y servicios externos que contraten para el tratamiento de datos personales estén ubicados dentro del territorio de la Unión europea y si se tratase de un tercer país debe contar con la previa aprobación de la Comisión como que el nivel de protección es adecuado, que en caso de proveedores con sus servidores ubicados en territorio Americano se acredita, al menos formalmente, mediante su inclusión en el Privacy Shield.

Y en determinados supuestos además deberán: 

• Nombrar un Delegado de Protección de datos (DPD), 

1) según el RGPD, “siempre que: 

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”

2) según la actual redacción del Proyecto de LOPD, entre otros,” las siguientes entidades:

a)  Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974…

b)  Los centros docentes que ofrezcan enseñanzas regladas por la Ley Orgánica 2/2006, de Educación, y las Universidades públicas y privadas.

…

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002.”

-          Garantizar el cumplimiento de los nuevos derechos de los interesados (portabilidad de los datos y limitación del tratamiento) cuando sea posible.

¿Y las empresas de más de 250 empleados, qué obligaciones adicionales deben cumplir?

Las empresas de mayor tamaño normalmente realizan los tratamientos de datos más elaborados, con la finalidad de elaborar perfiles, predecir decisiones de consumo, etc, este tipo de tratamiento obliga a:

-          Elaborar un registro de actividades de tratamiento en el que se detalle (identidad del responsable, finalidad del tratamiento, destinatarios, tipo de datos y detalles del tratamiento, así como plazo de supresión de los datos), para cualquier tratamiento de datos incluso los ocasionales.

Y si bien el limite de 250 solo se aplica de manera expresa a la obligación anterior, por la naturaleza de los tratamientos realizados, las empresas de mayor tamaño serán las que tengan más probabilidad de necesitar cumplir con las obligaciones de:

-          Nombrar un Delegado de Protección de datos (DPD)

-          Someterse a una Evaluación de Impacto de la Privacidad

-          Garantizar el cumplimiento de los nuevos derechos de los interesados (portabilidad de los datos y limitación del tratamiento) cuando sea posible.

Aunque en todo caso será necesarios realizar una valoración previa para adecuar las obligaciones anteriores a la realidad de la empresa.

¿Es obligatorio realizar un curso de formación al personal para acreditar que se cumple con el RGPD?

Definitivamente no, ocurre que muchas empresas de formación con pocos escrúpulos están aprovechando para ‘hacer su agosto’ indicando que es obligatoria hacer determinada formación bajo amenaza de una posible sanción, algo completamente falso. Lo que si es obligatorio, y siempre lo ha sido, es tener al personal formado e informado en la materia y que la empresa cumpla y pueda acreditar el cumplimiento de la normativa, lo que no ocurre por el  hecho de hacer o dejar de hacer un determinado curso de formación, especialmente si es desde la distancia.

¿Qué otras cuestiones es necesario tener en cuenta?

El endurecimiento del régimen Sancionador puede llegar a un 4% del volumen de negocio total del ejercicio anterior, ó 20 millones de euros.

Realizar todos los cambios necesarios y asegurar un servicio de asesoramiento permanente por un profesional con suficiente experiencia y conocimientos.

Puedes contactar para ampliar cualquier información con salonso@datages.es - 928 805 439

Imagen cortesía de: <a href="http://www.freepik.com">Designed by Makyzz / Freepik</a>