Principales cambios LOPD con el nuevo Reglamento

Principales cambios LOPD con el nuevo Reglamento

 

¿Dudas nuevo Reglamento de Protección de datos? En Tutela te lo explicamos.

El 25 de mayo de 2016 entró en vigor el nuevo Reglamento Europeo de Protección de Datos si bien su aplicabilidad no será obligatoria hasta dentro de dos años (mayo de 2018). Con estos datos resulta normal que tanto si eres empresario o particular te preguntes ¿qué norma es de aplicación? Pues bien, tanto la Directiva 95/46 como las normas nacionales que la trasponen, la conocida LOPD  (Ley 15/1999) y su Reglamento de Desarrollo 1720/2007 siguen siendo aplicables y deberás cumplir con ellas si no quieres resultar duramente sancionado.

PERO se avecinan muchos cambios y por ello el legislador deja margen de tiempo suficiente para comenzar a valorar estas nuevas exigencias resultando sumamente importante que aquellas empresas que se encuentran correctamente adaptadas a la normativa actual vayan realizando cambios hacia la futura normativa y aquellas no adaptadas y que ahora vayan a adaptarse tengan en cuenta desde el inicio las exigencias nuevas. DESTACAMOS


Nuevos Principios

  • Transparencia

  • Minimización de datos

  • Responsabilidad proactiva

Estos nacen con el objetivo de conseguir licitud y lealtad en los tratamientos, apareciendo los principios de transparencia, minimización de datos y responsabilidad proactiva.

Con ellos se pretende que las empresas ofrezcan respecto del tratamiento de los datos que la información que se le ofrezca al interesado sea concisa, clara, sencilla. Tanto en el la recogida como en el tratamiento posterior de los mismos. Que se minimice tanto su recogida que únicamente se limiten a recoger aquellos datos necesarios para la prestación del servicio sin excederse y lo más importante, la responsabilidad proactiva exige que el responsable del tratamiento sea capaz de demostrar el cumplimiento de todo lo anterior.

Estos principios vienen afectar a la empresa en diferentes acciones que conforme a la anterior normativa venían realizando en el tratamiento de sus datos, resultando de gran envergadura los cambios que se producen en el CONSENTIMIENTO y que su recogida e información deberá de ser aislada en declaración escrita sobre otros aspectos.

Nuevos Derechos

  • Derecho al olvido

  • Derecho a la portabilidad

Con el derecho al olvido (artículo 17 RGPDUE) el interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida de los datos personales cuando concurra alguna de las circunstancias recogidas en la norma y con el derecho a la portabilidad (artículo 20 RGPDUE) el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

Nuevas obligaciones

  • Registros de actividad

  • Evaluación de impacto

  • Consulta previa

Los registros ante la AEPD tiende a desaparecer pues desaparece la obligación de notificar dichos ficheros (si bien debemos esperar a las nuevas legislaciones que puedan surgir a nivel estatal sobre esta cuestión), a cambio cada persona jurídica o empresario individual que trate datos de carácter personal, tendrá La obligación de llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad y obligación que se extiende a los encargados de tratamiento y cuyo contenido de registro se desarrolla en la normativa (articulo 30)

La obligación de realizar de evaluaciones de impacto sobre la protección de datos aplicables de forma obligatoria en ciertos tratamientos- tiene carácter previo a la puesta en marcha de los mismos y tiene como objetivo minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos.

Esta evaluación de impacto será obligatoria cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales, esto se dará si o si cuando las empresas traten alguno de los aspectos que detallamos a continuación:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar
  • Tratamiento a gran escala de las categorías especiales de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.  (Artículo 9)
  • Tratamiento de datos personales relativos a condenas e infracciones penales
  • Observación sistemática a gran escala de una zona de acceso público.

El responsable deberá de cumplir con la obligación de realizar consulta previa a la autoridad de control antes de proceder al tratamiento de datos cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.

Nuevas figuras

Autoridad de Control

La Autoridad de control será el organismo que en cada Estado Miembro regule, supervise y vigile el tratamiento de datos de carácter personal. El responsable, el encargado del tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones y ante este organismo se deberán realizar entre otras cosas; las consultas previas tras evaluaciones de impacto de alto riesgo, las notificaciones de violaciones de seguridad de datos y más funciones recogidas a lo largo de todo el Reglamento.

 

Figura del Delegado de Protección de Datos: DPO

La nueva norma exige que el responsable y el encargado del tratamiento designarán un delegado de protección de datos

Este Delgado de protección de datos DPO, será necesario en las empresas en las que se de alguna de las siguientes circunstancias;

    • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
    • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
    • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
    • El tratamiento de datos relativos a condenas e infracciones penales.

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas.

El delegado de protección de datos podrá desempeñar sus funciones en el marco de un contrato de servicios.

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.

Sus funciones serán:

  1. Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros

  2. Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

  3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación así como cooperar con la autoridad de control

  4. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa y realizar consultas, en su caso, sobre cualquier otro asunto.

Por todo ello como os decíamos al principio de nuestro artículo esto no es más que un pequeño resumen de todos los cambios que se avecinan, que no son pocos, ni fáciles de asimilar, pero como empresarios que en el ejercicio de nuestra actividad profesional tratamos datos de carácter personal, debemos ir familiarizando y modificando en nuestra empresa para que la entrada en vigor nos afecte en la menor medida posible.

Desde Grupo Tutela podemos ayudaros a que el cambio resulte casi inapreciable, te esperamos!

Acerca del autor

Dejar un comentario