Blog

A POCOS MESES PARA QUE DEBAMOS CUMPLIR EL RGPD

Lilliam Valenzuela, 15 de Febrero de 2018volver al blog

A pocos meses del vencimiento del plazo de adaptación del Reglamento Europeo de Protección de Datos (en adelante el “RGPD”), las empresas españolas muestran preocupación por adaptar sus procedimientos internos a una norma general muy exigente. El RGPD ofrece un marco más sólido para la protección de datos en la Unión Europea, con especial referencia a los datos tratados en el entorno digital. Presta importancia al cumplimiento real más que al cumplimiento formal y eleva considerablemente las sanciones que se pueden imponer por incumplimiento de esta norma.

Algunas de las principales novedades son:

- La necesidad de designar a un Delegado de Protección de Datos (DPO) cuando se tratan datos a gran escala, y/o la actividad principal es la de tratar datos especialmente sensibles: (ej.: datos de salud y datos de condenas e infracciones penales). El DPO debe acreditar “cualidades profesionales, experiencia y especialización”, y podrá ser un asesor externo sobre la base de un contrato de servicios. El DPO asesorará al responsable y sus empleados, y supervisará el cumplimiento de la normativa. La designación del DPO deberá publicarse y notificarse a la Agencia Española de Protección de Datos. (art. 37)

- Se introducen nuevos derechos para los interesados: el “derecho al olvido”, como derecho de las personas a solicitar que se suprima toda la información que les identifique (art. 17); el “derecho a la limitación del tratamiento”, quedando limitado el tratamiento en determinados supuesto, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público. (art. 18); el derecho a la “portabilidad de datos”, como derecho del afectado a recibir los datos personales que hubiere facilitado, y a transmitirlos a otro responsable. (art. 20)

- Se deben adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos.(art. 25) Teniendo en cuenta costes, naturaleza, riesgos del tratamiento, probabilidad de impacto sobre la privacidad, las medidas se aplicaran con enfoque basado en el riesgo. (art. 32)

- Se deberá reforzar el debido control sobre los encargados de tratamiento, que deberán ser elegidos solo si ofrecen garantías suficientes en cuanto a proteger la información objeto de tratamiento. Los contratos de encargado de tratamiento que deben firmarse con las empresas que prestan servicios con acceso a datos, deberán actualizarse para incluir los aspectos que establece el RGPD (art. 28)

- Los Responsables y Encargados llevaran un registro escrito de las actividades de tratamiento de datos realizadas.(art. 30)

- Las empresas deberán comunicar en plazo de 72 horas a la Agencia Española de Protección de Datos cuando se produzca una violación de la seguridad con probabilidad de producir un alto impacto para la privacidad de los datos tratados. Así también deberá informarse a los afectados sobre dichas brechas de seguridad cuando exista riesgo de impacto en su privacidad.(art. 33)

- Previo al tratamiento, el responsable deberá realizar una evaluación del impacto de las operaciones. Dicha evaluación se llevará a cabo cuando sea probable que dicho tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas. (art. 35)

- Se deberá reforzar control sobre trasferencias internaciones, revisión de procedimientos, establecimiento de garantías adecuadas, normas corporativas vinculantes, y aplicación del nuevo privacy shield. Ello con la excepción de que el interesado haya dado explícitamente su consentimiento tras haber sido informado de los posibles riesgos para él debido a la ausencia de una decisión de adecuación y de garantías adecuadas. (art. 44 y ss)

- Las infracciones del Reglamento se sancionarán con multas de hasta 20.000.000 EUR, o de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual del ejercicio financiero anterior. (art. 77 y ss)

El RGPD, que por su naturaleza es de aplicación directa a los estados miembros, ha ofrecido dos años para que las empresas se adapten, pero ya solo quedan unos meses para su exigibilidad. En Umbra Consulting estamos trabajando para adaptar a nuestros clientes a esta nueva norma, con el fin de promover una cultura interna de cumplimiento y mitigar el riesgo de sanciones.

Lilliam Valenzuela
Abogada Responsable de Legal
Especialista en Protección de Datos

Compartir

volver al blog

Contacto

Umbra Consulting

UMBRA CONSULTING, S.L.
Oficinas en:
Alicante: C/ Alvarez Sereix 1B, 03001, Alicante, ESPAÑA.
Madrid: C/ Santa Engracia 31, 28010, Madrid, ESPAÑA.
Las Palmas de Gran Canaria: C/ Rafael Cabrera 9, Oficina 6, 35002, Las Palmas

ATENCIÓN AL CLIENTE Y CONSULTAS: info@umbraconsulting.es