RGPD

Introducción

Desde la entrada en vigor, en enero de 2000, de la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal), más allá del desarrollo reglamentario de esta Ley, llevado a cabo en el año 2007, se han introducido pocos cambios normativos en esta materia, pero con la entrada en vigor a nivel europeo, en mayo de 2016, del nuevo RGPD (Reglamento General de Protección de Datos (UE) 2016/679), que será de obligada aplicación a partir de mayo de 2018, se avecinan cambios importantes y nuevas obligaciones, que requerirán de la preparación y adopción de medidas técnicas y organizativas para cumplir con lo establecido en la nueva normativa.

Principales Cambios con Respecto a la Normativa Actual

Información a los Interesados y Obtención de su consentimiento

  • Ya no se permite la obtención del consentimiento por omisión.
  • Hay que documentar la base legal sobre la que se recogen los datos para su tratamiento.
  • La información a los interesados debe proporcionarse de forma inteligible, concisa y transparente, además de hacerlo de modo expreso, preciso e inequívoco, como se venía exigiendo hasta ahora.

Ejercicio de Derechos (ARCO) por Parte de los Interesados

  • Se reconoce con carácter general el derecho a obtener una copia de los datos personales en el ejercicio del derecho de acceso.
  • Se introduce el denominado derecho al olvido (borrado de datos en internet).
  • Posibilidad de que el interesado solicite una limitación en el tratamiento de sus datos.
  • Derecho a la portabilidad de datos cuando el tratamiento se efectúe por medios automatizados y se base en el consentimiento o en un contrato.

Relación entre Responsables y Encargados del Tratamiento

  • Nuevas obligaciones específicas para los encargados del tratamiento.
  • Se exige que el responsable esté en condiciones de garantizar y demostrar que los tratamientos de datos realizados por el encargado del tratamiento se realizan conforme a la Ley.
  • Modificaciones en el contenido mínimo de los contratos de encargado del tratamiento. Los contratos anteriores a la entrada en vigor del RGPD deberán ser modificados y adaptados a estas nuevas exigencias.

Se Exige a los Responsables una Actitud Proactiva en el Cumplimiento del RGPD

  • Se realizarán valoraciones de riesgo y evaluaciones de impacto sobre los tratamientos de datos a realizar, para poder establecer las medidas a implementar.
  • Será necesario mantener un registro de operaciones de tratamiento de datos.
  • Se introduce el concepto de protección de datos por defecto, que implica tener una visión de protección de datos incluso en la fase de diseño previa al tratamiento.
  • Las medidas de seguridad a adoptar en los tratamientos de datos dependerán de la valoración de riesgo realizada con anterioridad, y las que se venían implementando con la normativa actual podrán no ser suficientes con la nueva.
  • Deberán notificarse a la autoridad de protección de datos en un plazo de 72 horas las violaciones de seguridad en el acceso a los datos personales.
  • Se establece la nueva figura del Delegado de Protección de Datos (DPD), cuya adopción será obligatoria en determinados casos.