Blog

Protección de Datos

FAQs – REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

25 abril, 2018

 

¿QUÉ ES EL NUEVO REGLAMENTO EUROPEO?

EL RGPD o GDPR es la nueva normativa europea de protección de datos personales. Será de aplicación obligatoria a partir del 25 de mayo de 2018.

 

¿A QUIÉN AFECTA?

El Reglamento Europeo afecta a todas las empresas, organizaciones o autoridades públicas que traten datos personales de ciudadanos europeos (clientes, empleados, proveedores, etc.).

Esto incluye empresas que ofrecen servicios a otras empresas ya que tratan datos sobre clientes, aunque sea de forma indirecta. El responsable de tratamiento deberá comprobar las garantias que ofrecen sus proveedores para asegurar el correcto cumplimiento a sus clientes.

 

¿TODOS LOS DATOS PERSONALES SON IGUALES?

El RGPD distingue entre datos básicos y datos de categorías especiales que requieren una protección especial debido a los riesgos que presentan para los derechos y libertades de los titulares.

Algunos de los datos clasificados en esta categoría son:

  • Datos relativos a la salud
  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas
  • Afiliación sindical
  • Orientación sexual
  • Datos genéticos
  • Datos biométricos

 

¿APLICA FUERA DE LA UNIÓN EUROPEA?

El RGPD amplía su aplicación territorial a organizaciones establecidas fuera de la UE que traten datos de ciudadanos europeos para ofrecerles bienes y servicios.

 

¿QUÉ NUEVAS OBLIGACIONES ESTABLECE EL RGPD?

El proceso de adaptación al RGPD supone un importante cambio para la gestión de los datos personales. Las empresas deberán revisar y adaptar sus procesos internos y medidas de seguridad a los requerimientos del Reglamento Europeo.

Algunas de las acciones previstas que tendrán que realizar las empresas en su proceso de adaptación son:

  • Adecuar la documentación (cláusulas, contratos, etc.).
  • Actualizar la política de privacidad.
  • Adaptar los mecanismos para el ejercicio de derechos.
  • Elaborar un registro de actividades.
  • Realizar un análisis de riesgo.
  • Revisar las medidas de seguridad y actualizarlas si es necesario.
  • Establecer un protocolo para notificar incidencias de seguridad.
  • Revisar las garantías ofrecidas por los proveedores.

 

¿QUÉ ES LA RESPONSABILIDAD PROACTIVA?

Es la esencia del Reglamento Europeo. Se trata de un principio que basa el tratamiento de datos en la prevención, exigiendo que se apliquen medidas técnicas y organizativas desde el diseño y por defecto.

La nueva normativa es más exigente y flexible. Permitirá, a los responsables y encargados de tratamiento, decidir las medidas de seguridad apropiadas para garantizar y demostrar el cumplimiento.

 

¿QUÉ OCURRE CON LOS CONSENTIMIENTOS TÁCITOS?

A partir del 25 de mayo de 2018 no serán válidos los consentimientos tácitos. Para seguir con el tratamiento de datos recogidos de esta forma, se deberán volver a recoger según los nuevos requisitos. El RGPD establece que los consentimientos deberán ser expresos, y obtenidos de forma libre, específica, informada e inequívoca, mediante una acción positiva.

 

¿HAY QUE CONTINUAR REGISTRANDO FICHEROS EN LA AEPD?

A partir del 25 de mayo de 2018 desaparece la obligación de notificar los ficheros de datos ante la Agencia Española de Protección de Datos.

En su lugar, las empresas deberán tener un Registro de Actividades de los tratamientos de datos que realizan, incluyendo la información que exige el RGDP.

 

¿CUÁNDO ES OBLIGATORIO DESIGNAR A UN DELEGADO DE PROTECCIÓN DE DATOS (DPO)?

El RGPD establece que la contratación de esta figura profesional será obligatoria para:

  • Autoridades u organismos públicos.
  • Organizaciones cuya actividad principal consista en operaciones de tratamiento que requieran una observación habitual y sistemática de personas a gran escala.
  • Organizaciones cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos, o de datos sobre condenas o infracciones penales.

 

¿CÚANDO ES OBLIGATORIO REALIZAR UNA EVALUACIÓN DE IMPACTO?

Cuando se realicen tratamientos que puedan suponer un alto riesgo para los derechos y libertades de los titulares de los datos. El RGPD establece la obligación para los siguientes casos:

  • Evaluación sistemática y exhaustiva de aspectos personales basada en un tratamiento automatizado, como elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos.
  • Tratamiento a gran escala de datos personales de categorias especiales.
  • Observación sistemática a gran escala de una zona de acceso público.

 

¿SIEMPRE SE DEBEN NOTIFICAR LAS INCIDENCIAS?

La notificación de incidencias no es una obligación general. Será obligatoria para incidencias que supongan un riesgo para la confidencialidad e integridad de los datos personales.

El plazo límite para realizar la notificación es de 72 horas a partir de se tiene constancia de la misma.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *