Novedades sobre la nueva RGPD Protección de datos

El Reglamento (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), establece una serie de cambios respecto a los requisitos establecidos por la La Ley Orgánica 15/1999, de 13 de Diciembre de Protección de datos personales (LOPD), desarrollada por el Real Decreto 1720/2007, de 19 de Enero. Hasta la entrada en vigor del nuevo RGPD se establecía la obligatoriedad para todas aquellas Organizaciones que almacenan y tratan datos personales de personas físicas, de adecuarse a sus requisitos mediante el desarrollo de un documento de seguridad y la inscripción de ficheros en la Agencia de Protección de datos personales, además de cumplir una serie de medidas técnicas y organizativas en función de la clasificación de riesgo de cada fichero de datos. El tipo de riesgo, se definía por la sensibilidad de los datos que son incluidos en un fichero, así, no es lo mismo tratar un dato de contacto de una persona, que un dato referente a su ideología o su salud, por ejemplo. Cuanto mayor era el nivel de riesgo, mayores eran las medidas a aplicar con el fin de asegurar la integridad, seguridad y confidencialidad de la información.

El nuevo RGPD debe aplicarse bajo el principio de responsabilidad proactiva. El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las empresas analicen que? datos tratan, con que? finalidades lo hacen y que? tratamiento llevan a cabo, como base para determinar de forma explícita la forma en que aplicaran las medidas de seguridad adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

Protección de datos RGPD

El nuevo Reglamento pone énfasis en el refuerzo de los derechos de los ciudadanos sobre sus datos personales, así, principalmente, se deduce la necesidad de reforzar las medidas técnicas y organizativas a aplicar por parte de las empresas que traten datos personales, con el fin de eliminar los riesgos derivados de este tratamiento. Así, desaparece la clasificación de los ficheros en niveles de riesgo bajo, medio y alto, como base para aplicar medidas de seguridad para establecerse medidas personalizadas, a definir por las propias empresas, en función de un análisis de riesgos previo que debe efectuarse a partir de la aplicación de una matriz de riesgos.

Esta nueva consideración implica que una organización que cumpla con la LOPD, para adaptarse al nuevo RGPD, podrá cumplir las mismas medidas que hasta ahora o bien, en función de sus riegos, requerir nuevas medidas e incluso considerar que no todas las medidas actualmente implantadas sean necesarias.

Como cambios significativos, además de lo mencionado hasta el momento, destacamos la incorporación de nuevos derechos para los titulares de datos:

Derecho a conocer:

  • ¿Para qué se utilizan los datos? Debemos informar de quien tiene los datos, para qué los tiene, a quien los puede ceder y quienes son los destinatarios.
  • ¿Cuál es el plazo de conservación de los datos? Hasta cuándo van a ser utilizados.
  • La posibilidad de ejercer reclamaciones ante la Agencia Española de Protección de Datos.
  • La existencia de decisiones automatizadas, la elaboración de perfiles y sus consecuencias.

  • Derecho a solicitar al responsable:

  • La suspensión del tratamiento de los datos.
  • La conservación de los datos.
  • La portabilidad de tus datos a otros proveedores de servicios.

  • Derecho a rectificar tus datos:

  • Cuando sean inexactos
  • Cuando estén incompletos

  • Derecho a suprimir los datos:

  • Por tratamiento ilícito de datos.
  • Por la desaparición de la finalidad que motivó el tratamiento o recogida.
  • Cuando se revoca el consentimiento.
  • Cuando hay oposición al tratamiento.

  • Derecho de oposición al tratamiento de los datos:

  • Por motivos personales salvo que quien trata los datos acredite un interés legítimo.
  • Cuando el tratamiento tenga por objeto el marketing directo.
  • Todos estos aspectos, además, deben cumplirse teniendo como base la necesidad de dirigirse a titulares de datos con transparencia en la información. Las comunicaciones deben ser claras y el consentimiento de los interesados debe ser inequívoco. Esta es la clave para poder realizar un adecuado tratamiento de los datos personales de un tercero, el cual, si es realizado a través de un encargado de tratamiento, deberá realizarse con especial atención por parte de éste último y siempre en base a los acuerdos establecidos entre las partes, que no podrán obviar los requisitos específicos al efecto determinados por el propio RGPD.

    Por último, se deberá prestar especial atención a las medidas de responsabilidad activa, en cuanto a:

    Análisis de riesgo.
    Registro e actividades de tratamiento.
    Protección de datos desde el diseño y por Defecto.
    Notificación de violaciones en la seguridad de los datos.
    Evaluación de impacto de la protección de datos.
    Formación específica y certificación por entidad acreditada del Delegado de Protección de Datos.

    En definitiva, estanos ante un paso mas en materia de protección de Datos personales, que lleva a las organizaciones a revisar y cuestionar qué, quién y cómo se tratan los datos personales bajo su responsabilidad, de manera que obliga a revisar procedimientos, responsabilidades, competencias y tecnologías con el fin de asegurar el cumplimiento del nuevo RGPD.

    Desde EuQuality, damos asesoramiento y acompañamos a toda empresa que lo solicite, en su adaptación a los requisitos establecidos por el nuevo RGPD en materia de protección de datos. Este servicio incluye desde el análisis de cumplimiento de la legislación nacional al diseño de una estrategia para adaptar el sistema existente a los nuevos requisitos a partir del análisis de riesgos.

    Nuestros servicios, van dirigidos a todas aquellas Organizaciones y empresas que velan por el cumplimiento de la legislación aplicable en materia de Protección de Datos.

    Nuestra filosofía de servicio se basa en la de capacitar a toda organización para poder gestionar directamente su propio sistema de manera que una vez implantado el mismo pueda ser gestionado sin elevar los costes internos. Para ello, si es necesario, formaremos a su equipo de auditores internos con el fin de capacitar a su propia organización en materia de protección de datos a fin de dar cumplimiento a todos los requisitos legales aplicables.

    Los servicios que prestamos en materia de protección de datos personales son los siguientes:

    Implantación de un sistema de protección de datos.
    Adaptación al nuevo RGPD.
    Evaluaciones de cumplimiento.
    Jornadas de sensibilización al personal.

    ¡Envíanos tus consultas!