Se acerca la finalización del plazo para adaptarse al Reglamento General de Protección de Datos
- 18 abril 2018
- Asesoría
A partir del próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo al tratamiento de datos personales y a la libre circulación de éstos. Esta normativa será de aplicación obligatoria a partir de esa fecha e impone a las empresas numerosos deberes en relación a la privacidad.
Además, también queda pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos, que se encuentra actualmente fase de tramitación parlamentaria y que muy probablemente no estará lista para el próximo 25 de mayo, fecha de aplicación del RGPD. En cualquier caso, esto no supone ningún tipo de ventaja o inconveniente, ya que el Reglamento europeo será plenamente exigible de todas formas.
¿En qué consiste el RGPD?
El RGPD es un tipo de norma que tiene aplicación directa en todos los estados de la UE y, por tanto, no precisa de ningún tipo de mecanismo de transposición específico. Esto significa que no hace falta que exista ninguna ley española para que el Reglamento europeo resulte obligatorio, sino que es exigible como si fuera una ley nacional.
Mi empresa aún no se ha adaptado al RGPD: ¿por dónde empiezo?
Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jurídicas relevantes a tener en cuenta.
El primer paso que todas las empresas deberían llevar a cabo es identificar y analizar las áreas de riesgo y documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. De esta forma será más sencillo clasificar los datos de acuerdo con: su naturaleza, finalidad, categoría, origen, si son susceptibles de ser compartidos, etc.
¿Cúales son las obligaciones derivadas del RGPD deberán asumir las empresas y a qué riesgos se enfrentan en caso de incumplimiento?
Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar rápidamente las decisiones necesarias para llegar a ese plazo en situación de cumplimiento.
El riesgo de no hacerlo es el de posibles sanciones: las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. La autoridad de control puede actuar de oficio o por denuncia de los interesados.
En cuanto a los cambios y obligaciones que afectan a las empresas, podemos destacar entre otros los siguientes:
• Delegado de Protección de Datos (DPD/DPO). El Reglamento obliga a quienes realicen ciertos tratamientos, a nombrar un DPO, que podrá ser externo o interno. Un DPO deberá ser una persona experta en Protección de Datos y en métodos y técnicas de Seguridad de la información.
• Exigencia de la realización de una evaluación de impacto relativa a la protección de datos para ciertos tratamientos.
• Violaciones de la seguridad de los datos personales. Obligatoriedad de comunicarlas en un plazo de 72 horas a la Agencia Española de Protección de Datos, y en casos graves, a los propios afectados.
• Se elimina el consentimiento tácito (por silencio), lo que obligará a las empresas a recabar un nuevo consentimiento para poder mantener todos aquellos datos que en el pasado se obtuvieron tácitamente o buscarles otra cobertura legal.
• Se amplían las obligaciones de información a los afectados, lo que obligará ponerles al día en dicha información a los ya existentes.
• Se amplía el contenido mínimo en los contratos de acceso a datos por parte de terceros, por lo que deberán de establecerse de nuevo los contratos con los encargados de tratamiento, dado que los actuales no cumplen con el RGPD.
• El RGPD no establece diferenciación entre datos personales y datos ‘profesionales’ (datos de contacto de personas físicas que prestan sus servicios en una persona jurídica y empresarios individuales) como estableció el vigente Reglamento, lo que obligará a las empresas a tener que realizar acciones informativas a esta categoría de datos.
¿Tienes dudas sobre la implementación del RGPD?
Contacta con nuestro Departamento de Protección de Datos (monica.vilallave@cinc.es) sin ningún compromiso para resolver todas tus dudas.
Cordialmente,
CINC Asesoría de Empresas
