10 Días y ya tenemos que cumplir con el RGPD

2 Años han pasado desde la aprobación del Reglamento General de Protección de Datos

Como ya sabemos el #RGPD no es de obligado cumplimiento hasta el 25 de mayo de 2018, momento en el que será obligatorio en todos los elementos y se aplicará en cada estado miembro de la Unión Europea el Reglamento General de Protección de Datos.

Hemos tenido dos años desde su entrada en vigor (mayo 2016) y su aplicación. Este periodo de tiempo se ha dado para que las empresas y organismos se adapten de forma progresiva a los nuevos cambios que ha introducido el Reglamento Europeo, siempre compatibilizando con la normativa vigente LOPD.

La Agencia Española de Protección de Datos (AEPD) pone a disposición diferentes documentos y herramientas para permitir a las empresas adaptarse a las novedades legislativas del RGPD, y además la #AEPD recomienda a las empresas que adapten sus procesos y establecen algunas recomendaciones para llevar a cabo esta tarea.

 

Las novedades que incluye el nuevo Reglamento son:

  • No será obligatoria la inscripción de ficheros ante la AEPD.
  • Se debe llevar un registro interno y por escrito del tratamiento de datos que se realice.
  • Se debe llevar un registro de las actividades de tratamiento siempre que se traten datos de categorías especiales, no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9 y artículo 10.
  • Será necesario un consentimiento inequívoco, libre y revocable. El consentimiento debe expresarse mediante una acción afirmativa clara de conformidad, ya no se permite el consentimiento tácito.
  • Se establecen especificaciones sobre los datos de menores ya que no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que no puede ser menos de 13 años.
  • Establecimiento de nuevos derechos:
    • Derecho al olvido.
    • Derecho de portabilidad
  • Deber de informar cuando los datos personales se hayan obtenido de terceros, se debe informar al interesado en un plazo un mes.
  • Aplicación de medidas de seguridad
  • Surge una nueva figura el Delegado de Protección de Datos (DPO).

 

En concreto, el RGPD establece novedades con respecto a la forma de actuar de las empresas.

Las acciones que deben realizar las empresas para adaptarse progresivamente a los cambios e ir incorporando las novedades en su forma de trabajar y proteger los datos personales objeto de tratamiento.:

  • Actividades de Tratamiento

Se debe comenzar a realizar un registro de las actividades de tratamiento que lleven a cabo.

  • Mecanismos de recogida del consentimiento

Se debe revisar la forma en que recogen el consentimiento (formularios, consentimiento tácito…) para adaptarlo a los nuevos requerimientos.

  • Cláusulas informativas o encargo de tratamiento

Se debe revisar el contenido de las cláusulas informativas que se utilizan para informar a las personas afectadas para redactarlas conforme a la nueva normativa.

También se deben revisar los contratos de encargo de tratamiento para adaptarlos a los nuevos requerimientos establecidos en el RGPD.

  • Evaluación de impacto

Se debe comenzar a realizar la evaluación de impacto siempre que el tratamiento suponga un riesgo alto para los derechos y libertades de las personas físicas.

  • Transferencia de datos a terceros países

Se deben revisar los mecanismos utilizados para transferir datos a terceros países, con el objetivo de comprobar si se adecúan a la nueva regulación y de realizar las adaptaciones necesarias para cumplir con la nueva normativa.

  • Medidas de seguridad

Se deben evaluar las medidas de seguridad que se están aplicando y realizar una evaluación de los riesgos para los tratamientos que se están tratando con el objetivo de implantar las medidas de seguridad adecuadas de acuerdo al nuevo RGPD.

  • Incidencias

Se debe establecer cómo se va a proceder a la notificación a la autoridad de protección de datos y a las personas afectadas, las violaciones de seguridad en aquellos casos en que sea exigible según el RGPD, para que cuando sea aplicable la nueva normativa se lleve a cabo este protocolo.

Se deberá conocer en qué consiste esta figura y en qué situaciones es obligatoria para que la empresa pueda designar un DPD y esté realizando sus funciones en el momento de la aplicación del RGPD.

  • Formación del personal

Será necesario que las empresas formen a su personal para que sepan cómo deben tratar los datos de carácter personal en aplicación de las novedades incluidas en el nuevo RGPD.

  • Derechos

Se deben revisar los mecanismos que existen para que los interesados puedan ejercitar sus derechos, se deben conocer los nuevos derechos y establecer mecanismos para permitir ejercitarlos.

Desde el despacho de MedinAbello&Asociados, podemos ayudarle !

By |2018-05-14T13:18:34+00:00mayo 14th, 2018|Noticias, PROTECCIÓN DE DATOS|0 Comments