• No se han encontrado resultados

REGLAMENTO 2016/679 GENERAL DE PROTECCIÓN DE DATOS

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "REGLAMENTO 2016/679 GENERAL DE PROTECCIÓN DE DATOS"

Copied!
8
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 8 página )

Texto completo

(1)

REGLAMENTO 2016/679 GENERAL DE PROTECCIÓN DE DATOS

CAMBIO LEGISLATIVO EN MATERIA DE PROTECCIÓN DE DATOS

I. Introducción

El 25 de mayo de 2016 se aprobó el Reglamento UE 2016/679, el Reglamento General de Protección de Datos de la Unión Europea (RGPD), que deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y a su vez la actual LOPD.

El reglamento será de obligatorio cumplimiento a partir del 25 de mayo de 2018. El objetivo del mismo es armonizar y unificar las diferentes normativas de los países miembros de la Unión Europea. Esta nueva legislación hace especial hincapié en la responsabilidad proactiva, es decir, que las organizaciones hagan un análisis del tipo de datos que trata, las finalidades y qué tratamiento se les da a esos datos con el objetivo de garantizar y demostrar que se cumple con todos los aspectos legales que se les exige.

Asimismo, a nivel nacional, se encuentra en trámite legislativo la nueva Ley Orgánica de Protección de Datos española que se adaptará al nuevo Reglamento Europeo.

En el presente documento hacemos un breve repaso de lo que supone el nuevo reglamento, los cambios más importantes y por último, proponemos una hoja de ruta para implantar el nuevo marco jurídico en cualquier organización o empresa.

(2)

2 II. Principales cambios

Algunos de los principios y derechos más importantes que establece el nuevo reglamento y que deberá cumplir cualquier empresa, organización o profesional son:

a) Nuevos principios

RESPONSABILIDAD PROACTIVA: Las organizaciones deben ser capaces de acreditar en cualquier momento que se adoptan todas las medidas necesarias para cumplir con las obligaciones en materia de protección de datos.

PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO: Garantizar el cumplimiento de las obligaciones contenidas en el Reglamento, desde el inicio de una actividad que implique tratamiento de datos personales.

PRINCIPIO DE TRANSPARENCIA: La información que se ponga a disposición de los interesados deberá ser una información simple, comprensible y de fácil acceso.

PRINCIPIO DE MINIMIZACIÓN; Los datos personales solo se deben de tratar en caso de que no se pueda lograr la finalidad por otros medios.

b) Nuevos derechos*

INFORMACIÓN: Ofrecer más información sobre el responsable del tratamiento y los distintos tratamientos a los que se someterán los datos personales, además de ofrecerla de una forma más sencilla y accesible.

CONSENTIMIENTO: Ahora el consentimiento deberá otorgarse a través de un acto afirmativo (inequívoco, libre y revocable) ya no se admitirá el consentimiento tácito.

DERECHO AL OLVIDO (SUPRESIÓN): Posibilidad de revocar el consentimiento otorgado para el tratamiento de los datos personales, así como de solicitar la supresión y eliminación de los datos personales.

LIMITACIÓN DEL TRATAMIENTO: El afectado puede limitar el uso de sus datos (bloqueo) cuando hayan controversias acerca de la licitud o ilicitud de dichos datos personales.

(3)

3

LA PORTABILIDAD DE LOS DATOS: Posibilidad que tiene el interesado en recibir sus datos personales en un formato estructurado y de uso habitual y de lectura mecánica, así como transmitirlos de responsable a responsable del tratamiento.

A SER INDEMNIZADO: Los afectados podrán exigir una indemnización por daños y perjuicios por el tratamiento ilícito de sus datos personales.

*Los derechos de ACCESO, RECTIFICACIÓN Y OPOSICIÓN no sufren modificaciones relevantes y siguen siendo vigentes.

c) Registro de actividades de tratamiento

Los Responsables del tratamiento de datos de carácter personal en cada empresa

deberán mantener un registro actualizado y por escrito de las actividades de

tratamiento efectuadas bajo su responsabilidad, según lo dispuesto por el artículo 30, en los siguientes supuestos:

1. Cuando se trate de una empresa con 250 empleados o más

2. Cuando el tratamiento no ocasional que se realice pueda entrañar un riesgo para los derechos y libertades de los interesados

3. O cuando el tratamiento incluya categorías especiales de datos personales, relativos a condenas y/o a infracciones penales

Esta nueva obligación sustituye la obligación de inscripción de los ficheros en el Registro General de Protección de Datos de la AEPD, que recogía la Ley 15/1999, de 13 de diciembre, Orgánica de Protección de Datos española, en su artículo 25 y siguientes, y en su reglamento de desarrollo, Real Decreto 1720/2007, de 21 de diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (RLOPD).

El registro de las actividades de tratamiento deberá contener la siguiente información:

 La información del Responsable (datos de identificación y de contacto)

 Los fines del tratamiento

 Una descripción de las categorías de interesados y de datos personales que se

(4)

4

 Las categorías de destinatarios a quienes se comunican los datos personales

(empresas del grupo, otros y/o transferencias internacionales)

 Los plazos previstos para la supresión de los datos recogidos/tratados

 Una descripción general de las medidas técnicas y organizativas de seguridad.

d) Delegado de Protección de Datos

El Delegado de Protección de Datos es una nueva figura que será obligatoria en los siguientes casos:

1.

Si el tratamiento lo lleva a cabo una autoridad u organismo público, excepto

los tribunales que actúen en ejercicio de su función judicial.

2.

Cuando las actividades principales del responsable o del encargado del

tratamiento de datos de carácter personal consistan en operaciones de

tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.1

3.

Cuando las actividades principales del responsable o del encargado consistan

en el tratamiento a gran escala de categorías especiales de datos

personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 del Reglamento.

El DPO requiere una cualificación que incluya conocimientos jurídicos, técnicos, de gestión de programas y de gestión de riesgos así como habilidades de comunicación. Podrá ser interno, externo o mixto. Esta última figura quizás puede ser la más adecuada contando para ello con un profesional en el que el DPO interno pueda apoyarse en su día a día.

En el caso de pequeñas organizaciones, puede ser aconsejable que el DPO sea externo y se establezca una relación de “encargo de tratamiento” con plenas garantías entre el responsable y el DPO.

Además el DPO tendrá que reportar al máximo órgano jerárquico (Consejo de

Administración o similar) lo cual recuerda mucho a la figura del “compliance officer

que asume unas funciones similares en la parte de prevención de riesgos penales y

(5)

5

cumplimiento normativo. Es muy factible que en algunas organizaciones el “compliance

officer” y el DPO recaigan en la misma persona o en el mismo órgano.

Sus funciones son:

1.

Informar y asesorar al responsable o al encargado de tratamiento y a los

empleados que se ocupen del tratamiento de las obligaciones que existan en materia de protección de datos. Esta es quizás una de las funciones que en muchos casos venía adoptando el responsable de seguridad en muchas organizaciones.

2.

Supervisar el cumplimiento de lo dispuesto en el Reglamento y de otras

normativas de protección de datos incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.

3.

Ofrecer asesoramiento que se le solicite acerca de la evaluación de impacto

relativa a la protección de datos y supervisar su aplicación.

4.

Cooperar con la autoridad de control.

5.

Actuar como punto de contacto de la autoridad de control para cuestiones

relativas al tratamiento, incluida la consulta previa prevista en el Reglamento.

e) Procedimiento de detección y notificación de brechas de seguridad

Cuando se produzca una violación de la seguridad de los datos, el Responsable

deberá notificarla a la autoridad de protección de datos competente, sin dilación indebida (dentro de las 72 horas siguientes a tener constancia). Si hay dilación en la notificación se deberá justificar.

En cualquier caso se deberán documentar las violaciones de seguridad. Asimismo, en los casos en que la violación de seguridad entrañe un alto riesgo para los interesados, la notificación debe dirigirse también a ellos.

f) Evaluación de impacto

(6)

6

Decisiones automatizadas, que originen efectos jurídicos sobre la persona a quien corresponden los datos personales o le afecten significativamente,

Tratamientos a gran escala de categorías especiales de datos o de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas,

 Observación sistemática a gran escala de una zona de acceso público,

 Operaciones que, a criterio de la autoridad de control competente,

impliquen un alto riesgo para los derechos de los interesados y

 Cualquier tratamiento de datos que, por su naturaleza, alcance, contexto o

fines, implique un alto riesgo para los derechos y libertades de las

personas físicas, y en particular si utiliza nuevas tecnologías.

g) Régimen sancionador

El régimen sancionador del nuevo Reglamento 2016/679 busca que las sanciones sean efectivas, proporcionadas y disuasorias, por lo que el importe de las sanciones se fijará según las circunstancias de cada caso. Se valorará:

 El grado de responsabilidad del Responsable del Tratamiento

 La naturaleza, gravedad y duración de la infracción

 La relación entre la finalidad y la categoría de los datos tratados

 El número de interesados/usuarios afectados

 Los perjuicios ocasionados y las medidas tomadas para mitigarlos

 La intencionalidad, negligencia o reiteración

 Tipo y plazo de notificación de la incidencia

 Cooperación con la AEPD y cumplimiento de resoluciones

 La adhesión a mecanismos de certificación y/o a códigos de conducta

 Y los beneficios obtenidos o pérdidas evitadas.

Las sanciones por el incumplimiento de las obligaciones contenidas en dicha norma podrán ser:

◌ Leves

- Hasta 10.000.000 euros

(7)

7

◌ Graves

- Hasta 20.000.000 euros

- 4% de la facturación global anual

III. Adaptación al cambio normativo

Por todo lo anterior, es fundamental realizar una correcta implantación al Reglamento europeo 2016/679 de Protección de Datos, así como la implementación de procedimientos, medidas de seguridad y controles en los sistemas de información que sean oportunos desde el ámbito jurídico.

Proponemos los siguientes pasos:

1. Identificación de los diferentes tratamientos de datos de carácter personal

(datos básicos, sensibles, penales) y su trazabilidad.

2. Valoración de la necesidad de designar Delegado de Protección de Datos

(DPO).

3. Identificación de tratamientos que requieran una Evaluación de Impacto. En su caso, implantación de un sistema de evaluación de impacto.

4. Revisión de la legitimación para el tratamiento de datos, y en su caso

adaptación de la obtención del consentimiento para el tratamiento de datos

personales.

- Requisitos que se exigen para la obtención del consentimiento

- Revisión de los consentimientos recogidos anteriormente

- Revisión y redacción de cláusulas de recogida de datos

5. Contratos con Encargados del tratamiento:

- Identificación de los posibles Encargados del tratamiento

- Identificación de los posibles Responsables del tratamiento de los cuales la

compañía es Encargado del tratamiento

6. Implantación de un Registro de Actividades del tratamiento, si corresponde. 7. Revisión y en su caso implantación de un procedimiento para atender a las reclamaciones derivadas de los Derechos de Acceso, Rectificación, Oposición, Supresión y Revocación del consentimiento.

8. Establecimiento de un Sistema de Notificación de Brechas de Seguridad. 9. Recomendaciones en materia de Medidas de Seguridad.

(8)

8 10. Revisión y en su caso adaptación de las cláusulas de información y políticas de

privacidad de la página web.

11. Formación dirigida a los empleados que traten datos personales.

12. Identificación de cumplimientos e incumplimientos de los Principios rectores del Reglamento Europeo de Protección de Datos (Reglamento UE 2016/679). 13. Informe final de la implantación del nuevo Reglamento.

14. Elaboración de toda la documentación que permita demostrar el Principio de

Responsabilidad Proactiva.

HERRERO & ASOCIADOS Área de Derecho Digital

Referencias

Descargar ahora ( PDF - 8 página - 347.95 KB )

Documento similar

Reglamento general de protección. de datos (UE 2016/679)

El artículo 4.1 del RGPD lo define como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable

C 130/4 Diario Oficial de la Unión Europea 30.4.2011

Petición de decisión prejudicial — Cour constitutionnelle (Bélgica) — Validez del artículo 5, apartado 2, de la Directiva 2004/113/CE del Consejo, de 13 de diciembre de 2004, por

III. OTRAS DISPOSICIONES UNIVERSIDAD DE SANTIAGO DE COMPOSTELA

La Normativa de evaluación del rendimiento académico de los estudiantes y de revisión de calificaciones de la Universidad de Santiago de Compostela, aprobada por el Pleno or-

BASES LEGALES DE LA PROMOCIÓN "CELEBRA EL DÍA DE LAS PATATAS FRITAS EN INSTAGRAM, CON McDONALD S

7 | P á g i n a En cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las

La adopción de instrumentos de certificación como garantía eficiente en la protección de los datos personales

La efectiva aplicación del Reglamento general de protección de datos 2016/679 (RGPD) desde el 25 de mayo de 2018 y su ulterior adaptación por las legislaciones nacionales han

Memoria do Plan de Formación de PAS

Europeo 2016/679 de protección de datos 20 Seguridade da información no ámbito das Universidades Públicas 20 Aplicacións informáticas de bases de datos relacionais

Reglamento General de Protección de Datos de la Unión Europea

En 2018 la Unión Europea implementó el Reglamento General de Protección de Datos, norma que restringe el uso de sistemas tomas de decisiones automatizadas a partir del tratamiento de

REAL FEDERACIÓN ANDALUZA DE GOLF C/ Enlace, 9 Telf Fax MÁLAGA CIRCULAR Nº 41/22

En cumplimiento de lo establecido en el artículo 13 de la sección 2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a