¡Síguenos en nuestras redes sociales!

Novedades LOPD, entra en vigor el Reglamento General de Protección de Datos (RGPD)

Novedades de la LOPD en mayo 2018

El próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), normativa que va a suponer los siguientes cambios en las obligaciones vigentes en la LOPD:

  • Respecto a la persona física que facilita sus datos, se exige al responsable del tratamiento, a la hora de recabar dichos datos de carácter personal, que le informe de hasta 11 aspectos cuando en la actualidad son solo 5; también, el consentimiento del afectado habrá de ser inequívoco (de modo expreso o implícito cuando se deduzca de una acción del interesado previamente informado) cuando hasta ahora bastaba con que fuese tácito o basado en la inacción  el consentimiento tácito y, por último, también en el momento de recoger los datos, habrá de  informarse de la  base legal y de los intereses legítimos del responsable sobre los que se desarrolla el tratamiento de datos. Todo esto obligará a revisar y modificar las políticas de protección de datos de las organizaciones responsables del tratamiento de datos de carácter personal.

 

  • Se añaden nuevos derechos a los ya conocidos derechos A.R.C.O.:
    • El derecho al olvido (derecho al borrado de los datos personales).
    • El derecho de limitación de tratamiento (a petición del interesado, no se aplicarán a sus datos personales, las operaciones de tratamiento que en cada caso corresponderían). Esta limitación, se puede solicitar cuándo:
      • El interesado ha ejercido los derechos de rectificación u oposición y el responsable está en proceso de determinar si procede a atender dicha solicitud.
      • El tratamiento es ilícito.
      • Los datos ya no son necesarios para el tratamiento.
      • Para proteger los derechos de otra persona.
    • El derecho de portabilidad (el derecho a la portabilidad implica que los datos personales del interesado se puedan y deban transmitirse directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al interesado.

 

  • Se fijan nuevas y específicas obligaciones para los encargados de tratamiento:
    • Deberán crear y mantener un registro de actividad.
    • Deberán determinar las medidas de seguridad aplicables a los tratamientos que realicen.
    • Deberán designar un “Delegado de Protección de Datos” (nueva figura, de la que hablamos más adelante) en los casos previstos por el RGPD.
    • Del mismo se prevén modificaciones en los contratos de encargo de tratamiento, regulándose de forma minuciosa el contenido mínimo obligatorio que desde la entrada en vigor del RGPD habrán de contener dichos contratos (lo que obligará a su revisión y adaptación antes del próximo mayo) en relación al objeto, duración, naturaleza y finalidad de los tratamientos así como a la obligación del encargado a tratar los datos personales únicamente siguiendo las instrucciones del responsable.

 

  • Se prevén medidas de responsabilidad activa de los responsables:
    • Se deberá realizar una valoración del riesgo de los tratamientos que realicen, distinguiéndose:
      • Grandes empresas: El análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.
      • Empresas de menor tamaño: El análisis será el resultado de una reflexión, la cual deberá estar documentada. Esta valoración, se realizará respondiendo a una serie de preguntas, cómo las que indicamos a continuación (cuantas más respuestas afirmativas, mayor sería el riesgo y mayores las medidas a adoptar) :¿Se tratan datos sensibles? ¿Se incluyen datos e una gran cantidad de personas? ¿Incluye el tratamiento la elaboración de perfiles? ¿Se cruzan datos obtenidos de los interesados con otros disponibles de otras fuentes? Etc..
    • Tanto los responsables cómo los encargados, deberán mantener un registro de operaciones de tratamiento. Las empresas con menos de 250 trabajadores, están exentas de este registro, salvo que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.
    • Notificación de “violaciones de seguridad de los datos” o “quiebras de seguridad”. Esto incluye todo incidente que ocasione destrucción, pérdida o alteración accidental o ilícita de datos personales.
    • Evaluación de Impacto sobre la Protección de Datos en aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
    • Se introduce la figura del Delegado de Protección de Datos que será obligatoria en:
    • Autoridades y organismos públicos.
    • Responsables o encargados de que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de los interesados a gran escala.
    • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
    • Se deberá establecer una política interna de protección de datos, que deberá ser conocida por todos los trabajadores debiendo probarse dicho conocimiento.
    • Seudonimizacion e instauración de políticas de obtención y tratamiento de los mínimos datos posibles.

Os recordamos que las empresas están obligadas por Ley cumplir con la normativa de protección de datos y a notificar a la Agencia Española de Protección de Datos que mantiene al día y operativos sus ficheros de clientes y personal. No cumplir con la ley puede suponer una sanción desde los 900 a los 900.000 euros en función de la cantidad de datos con los que trabaje.

Si necesita realizar la implantación de la LOPD o la revisión del estado de la implantación en su empresa, póngase en contacto con nosotros mandándonos un correo a info@dsigrupo.com o llamándonos al 976 361 720, trabajamos con abogados especializados para garantizar el total cumplimiento de la normativa. 

 

 

Deja un comentario