Con la finalidad de dotar de uniformidad la implementación de la normativa en materia de protección de datos, el Parlamento y el Consejo Europeo adoptaron el 27 de abril de 2016 el “Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” (“RGPD” o “Reglamento”). El  texto normativo que entrará en vigor el próximo 25 de mayo de 2018, introduce multiplicidad de novedades normativas cuyo incumplimiento puede motivar la imposición de elevadas sanciones que pueden alcanzar los 20 000 000 de euros o cuantías equivalentes al 4 % del volumen de negocio total anual. Es por ello que resulta de importancia capital prestar especial atención a las principales novedades que introduce el RGPD:

1)      Desaparece la obligación general  del responsable del tratamiento del deber de notificación de los ficheros al Registro General de Protección de Datos. Sin embargo, los responsables y los encargados del tratamiento deberán llevar un Registro de Actividades de Tratamiento. El Reglamento establece en este sentido el contenido mínimo del mismo. El Registro deberá mantenerse actualizado y a disposición de la AEPD.

2)      Se introducen los principios de privacidad por diseño y privacidad por defecto. La privacidad por diseño implica la implementación de medidas técnicas y organizativas apropiadas desde el inicio del tratamiento de datos, tales como la pseudonimización de los datos o minimización del tratamiento. La privacidad por defecto consiste en el tratamiento, por defecto, de los datos estrictamente necesarios para la finalidad para la que se recaban.

3)      Información y consentimiento. El RGPD obliga a informar a los titulares de los datos en mayor medida que lo hacía la LOPD. Asimismo, la información facilitada debe ser transparente y comprensible por el público al que va dirigida. En cuanto al consentimiento, ya no tiene cabido el tácito, al exigirse que el afectado realice alguna acción para consentir.

4)      El Reglamento exige mayores medidas para los contratos celebrados con los encargados del tratamiento. Además, el responsable deberá garantizar que el encargado cumple con la normativa de protección de datos.

5)      Se introduce la obligación de realizar una evaluación de impacto en el supuesto de que el tratamiento implique un alto riesgo para los derechos y libertades de las personas físicas. Ello implicará, en consecuencia, hacer una “pre-evaluación” de todos los tratamientos para determinar si es necesaria o no la evaluación de impacto.

6)      El responsable y el encargado deberán establecer las medidas técnicas y organizativas que correspondan teniendo en cuenta los datos tratados y el riesgo para la privacidad. Desaparecen así las medidas de seguridad tasadas, siendo necesaria una auditoría técnica que determine qué medidas de seguridad debe adoptar la empresa.

7)      La empresa deberá contar con un procedimiento interno de notificación de brechas de seguridad. La notificación se ha de hacer a la AEPD y, en su caso, a los titulares de los datos.

8)      La empresa debe determinar si, conforme al Reglamento, necesita nombrar a un Delegado de Protección de Datos.

9)      Aparecen nuevos derechos de los afectados, a saber, la transparencia y el deber de información como derechos, el derecho al olvido, la limitación del tratamiento y el derecho a la portabilidad.

 

Silvia Chavida

Asociada de Cremades & Calvo-Sotelo

De acuerdo