Aplicación RGPD

La entrada en vigor del Reglamento

El Reglamento entró en vigor el 25 de mayo de 2018 y en diciembre entró en vigor la Ley Orgánica de Protección y Garantía de los Derechos Digitales (LOPDGDD).

Empresas u organizaciones sujetas a la nueva normativa

El RGPD y la LOPDGDD se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

La responsabilidad activa recogida en el Reglamento

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

– Protección de datos desde el diseño
– Protección de datos por defecto
– Medidas de seguridad
– Mantenimiento de un registro de tratamientos
– Realización de evaluaciones de impacto sobre la protección de datos
– Nombramiento de un delegado de protección de datos
– Notificación de violaciones de la seguridad de los datos
– Promoción de códigos de conducta y esquemas de certificación.

Cambia la forma en la que hay que obtener el consentimiento

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es ?inequívoco?, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser ?explícito? en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

Auditorías, Análisis de riesgos y Evaluación de impacto en la Protección de Datos

La adaptación a la normativa en protección de datos no tiene por qué ser anual, sino que debe ser permanente y requiere de una labor continua de asesoramiento y auditoría, siempre dependiendo de la tipología de los datos tratados y la actividad de la empresa que los trata, para garantizar que la adecuación a la normativa se mantenga adecuada y actualizada.

Scroll hacia arriba