Ref: MC/MF-68
Sevilla, 26 de enero de 2018
Sección: Asesoria Jurídica (Marcos Cañadas)
IMPORTANTE: NUEVAS OBLIGACIONES PARA LAS EMPRESAS EN MATERIA DE PROTECCIÓN DE DATOS
Las empresas deben tomar medidas para adaptarse al nuevo reglamento general de protección de datos, que se aplicará a partir del próximo 25 de mayo de 2018.
El 25 de mayo de 2016 entró en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Sin embargo, y dados los importantes cambios que hay que realizar, la Unión Europea dio dos años de plazo hasta que comenzara su plena aplicación.
Los expertos recomiendan ponerse al día antes de que llegue la fecha límite, ya que hay tiempo para estudiar si las medidas implantadas son suficientes y eficaces. Desde el 25 de mayo, los errores pueden resultar muy caros, ya que el plan de protección de datos será obligatorio.
¡OJO!: Hay que DESTACAR:
- Análisis de riesgos: Un programa estándar ya no vale para asegurarse de cumplir con el RGPD. Tanto es así, que en el caso del tratamiento de datos especialmente sensibles es necesario llevar a cabo un análisis de riesgos y evaluaciones de impacto. Se trata de la vía más óptima para baremar los posibles peligros y diseñar las medidas adecuadas según su nivel.
- Almacenamiento de los datos: A partir del 25 de mayo, los datos tienen que almacenarse siempre de manera anónima y bajo seudónimo. Por lo tanto, las empresas deben adaptar sus sistemas para que el archivo de estas informaciones se haga de esta forma.
- Obtención del consentimiento: Una de las principales novedades del RGPD es el cambio en la obtención del consentimiento de los interesados. Ya no será posible el tratamiento de datos basados en consentimientos tácitos, sino que será necesario disponer del consentimiento expreso, explícito y específico de los interesados. Por lo tanto, si no hay una declaración del interesado, es necesario, al menos, una acción positiva mediante la cual manifieste su conformidad. Así, en primer lugar, los responsables del tratamiento deben revisar los consentimientos que ya tienen para eliminar aquellos datos que ya no sean necesarios. Después, deberán recabar el consentimiento expreso de aquellos datos, cuyo tratamiento se desee mantener. Como último paso, hay que modificar las cláusulas informativas de recogida del consentimiento para la futura información que se quiera guardar.
- Información más completa: A partir del 25 de mayo, la información que se dé a los usuarios debe ser mucho más completa, detallada y específica a la que se facilitaba hasta ahora con la anterior Ley Orgánica de Protección de Datos 15/1999.
Sin embargo, el RGPD, consciente de que las cláusulas podrían llegar a ser excesivamente extensas, permite que la información se facilite en dos capas: una primera con la más básica en el momento de la obtención del consentimiento, para después ofrecer información adicional específica y detallada, como puede ser la identificación del delegado de protección de datos, transferencias internacionales o cesiones, entre otros.
- Ejercicio del derecho de los interesados: El RGPD introduce también novedades en relación a los derechos de los interesados y el proceso de ejercicio de los mismos. Se acuñan algunos nuevos, como son el derecho a la portabilidad de los datos o el derecho al olvido.
- Brechas de seguridad: Cuando haya cualquier problema de seguridad, hay que comunicar la incidencia a la Agencia Española de Protección de Datos, pero también a los propios interesados, siempre que se haya puesto en peligro sus derechos y libertades.