Ocho claves para entender el nuevo Reglamento de Protección de Datos

Claves para entender el nuevo RGPD

Prácticamente el tiempo se ha acabado y ya no hay vuelta atrás. El próximo 25 de mayo entra en vigor el Reglamento de Protección de Datos (RGPD) que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD).

Como probablemente parte de la población empresarial no tiene aún del todo claro el significado y la repercusión de esta iniciativa  (diversos estudios coinciden en ello), el conocer la naturaleza de los cambios será una buena ayuda para que las empresas  apliquen el Reglamento de manera más sencilla.

Dado que la transición supondrá un cambio radical en la concepción y el tratamiento de los datos, ha llevado a InnoTec System, el área especializada en ciberseguridad del Grupo Entelgy, a ofrecer las 8 claves que se consideran fundamentales para ayudar a las empresas a comprender la naturaleza de los cambios, asumirlos mejor y poder aplicarlos de manera más sencilla:

1.-  Qué es el deber de información y el encargo de tratamiento: dos de los cambios fundamentales son las cláusulas del deber de información y los contratos de acceso a datos por terceros. Los responsables podrán certificarse dentro de los esquemas previstos por el RGPD para demostrar que pueden ofrecer las garantías que exige el reglamento.

    1. Las cláusulas: Los puntos a informar en las cláusulas se han ampliado, ahora incluyen: base jurídica de tratamiento, datos del delegado de protección de datos (si lo hubiese), intención de realizar transferencias internacionales y elaboración de perfiles. Junto a ellos, se mantienen la identificación del responsable y los aspectos relacionados con los derechos de los titulares.
    2. Encargo de tratamiento: en esta parte el contenido de los contratos se amplía incluyendo: el encargado de atender las solicitudes de los derechos de los titulares, la firma de los compromisos de confidencialidad por el personal del encargado y un deber de colaboración del encargado de tratamiento con el responsable, de manera más extensa que lo establecido hasta ahora en la LOPD.

Plazo de atención del derecho de acceso

2.-  Responsabilidad proactiva, privacidad desde el diseño y por defecto: hace referencia al deber del responsable y encargado de tratamiento de los datos de demostrar que la empresa cumple con lo establecido en el reglamento, es decir, la obligación de prevenir daños por parte de todas las organizaciones que traten datos de carácter personal.

Por su parte, la privacidad hay que medirla desde dos puntos de vista:

    1. Privacidad desde el diseño: busca garantizar que todo sistema de tratamiento de datos se adecúe a la normativa desde las primeras etapas de un proyecto y a tenerla en cuenta en durante todo el desarrollo de dicho proyecto.
    2. Privacidad por defecto: significa que los sistemas de tratamiento deben configurarse de la forma más restrictiva posible para respetar la intimidad de las personas, siendo ellas las que decidan qué aspectos de su información quieren hacer públicos.

3.-   Inscripción en los ficheros y registro de actividades: el nuevo RGPD sustituye la obligación de inscribir los ficheros en la Agencia Española de Protección de Datos, por la obligación de disponer de un registro de actividades. Con la implementación del nuevo reglamento, cada empresa responsable deberá describir con detalle qué datos recoge, con qué fin los trata, a quién los comunica, si los transfiere a terceros países, cómo preserva su seguridad y cuándo podrá suprimirlos.

4.-   Nuevos derechos de los titulares: se mantienen los derechos conocidos como ARCO (acceso, rectificación, cancelación y oposición) y se añaden nuevos: limitación de tratamiento, portabilidad y el derecho de al olvido.  Además, también se han modificado los plazos: con la LOPD el plazo de atención del derecho de acceso era de un mes y para el resto de 10 días y con el RGPD se unifica el plazo de atención a 1 mes para todos los derechos.

El RGPD sustituirá a la actual LOPD

5.-    Actual base legal de los tratamientos.

Encontramos un mayor ímpetu en la base legal de los tratamientos. La LOPD recogía el consentimiento como base legal principal; el resto de casos eran excepciones. Sin embargo, en el RGPD no hay excepciones: ahora son bases legales claramente diferenciadas el consentimiento, la relación contractual, los intereses vitales del interesado o terceras personas, la obligación legal para el responsable, el interés público o el ejercicio de poderes públicos, entre otros.

6.-    Análisis de riesgos y medidas de seguridad. El RGPD basa la aplicación de las medidas de seguridad en el riesgo a la hora de tratar la información, en lugar de hacerlo únicamente clasificando dicha información y su valor/riesgo en básico, medio o alto, como se hacía anteriormente. Para analizar este riesgo, a partir de ahora es necesario tener en cuenta la naturaleza de los datos, el número de afectados y la cantidad y variedad de tratamientos de la información que realice una misma organización. Además, la Agencia ha publicado dos guías: Guía de análisis de Riesgo y Guía de Evaluación de Impacto en la Protección de Datos, que pueden ayudar a las empresas a definir estos riesgos.

7.-    Nueva figura del Delegado de Protección de Datos (DPD): hace referencia a una nueva figura especializada en derecho de protección de datos que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos. Esta nueva figura tiene unas funciones delimitadas como son garantizar el cumplimiento del reglamento y ser el asesor del responsable del tratamiento de datos a tal efecto.

8.-    Nuevas sanciones por incumplimiento: el primero y más llamativo de los cambios es el sustancial incremento del importe de las multas con el fin de evitar las llamadas “infracciones rentables”. El artículo 83 del RPGD plantea la posibilidad de cifrar las multas administrativas con cuantías de entre 10 y 20 millones de euros. Si hace referencia a una empresa, la multa podría ascender al 2 o 4 por ciento del volumen de negocio total (en base al anual global del ejercicio financiero anterior). La obligación de indemnizar que impone el RGPD afectará a todos los responsables que hayan intervenido en el tratamiento.

Dejar respuesta

Please enter your comment!
Please enter your name here