Guía Express del RGPD



Preguntas Express

Según el tratamiento y el tamaño de la organización está obligada a cumplir una serie de normativas en cuánto a la obtención y uso de datos de carácter personal.

El 25 de Mayo del 2018 entra en vigor el nuevo Reglamento de la Protección de Datos en sustitución a la actual Ley Orgánica de Protección de Datos (LOPD). Esta normativa afecta a toda empresa aunque de distinto modo teniendo en cuenta el tipo de tratamiento de los datos personales y el tamaño de la organización.


¿Qué es el Reglamento General de Protección de Datos?

El nuevo Reglamento General de Protección de Datos sustituye a la antigua Ley Orgánica de Protección de Datos y constituye un nuevo marco jurídico sobre el tratamiento de datos personales y sobre su circulación.

Esta ley otorga mayor seguridad y control a las personas sobre su información personal.

Otro de los grandes objetivos es enmarcar unas reglas comunes para todos los estados miembros de la Unión Europea (de momento incluye también el Reino Unido aunque esté en proceso de Brexit).


¿En qué consiste el nuevo RGPD ?

El nuevo reglamento pretende aumentar la protección de las personas físicas ante el tratamiento de datos personales mediante el consentimiento inequívoco y explícito del uso de datos. El silencio y la inacción después de leer una declaración de privacidad no constituyen

consentimiento.

El nuevo RGPD será una norma más estricta. Las sanciones a las empresas pueden llegar al 4 % de la facturación anual mundial o a los 20 millones de euros (lo que sea mayor). Además, la condena podrá imponerse aunque no haya pérdida en sí de los datos.

En definitiva, después del 25 de Mayo los ciudadanos tendrán un mayor control de sus datos personales y aumentarán sus derechos a decidir cómo estos datos son tratados.


¿Cuándo entra en vigor y quiénes están obligados ?

El nuevo Reglamento General de Protección de Datos ya está en vigor desde abril de 2016, pero será de aplicación obligatoria para todas las empresas de la Unión Europea (UE) a partir del 25 de mayo de 2018.

El RGPD tiene grandes implicaciones para todos los departamentos de muchas compañías a nivel mundial, afectando a las empresas y a quienes se encarguen del tratamiento de datos para ellas (incluso fuera de la UE).

Se recomienda recibir una formación adecuada en la nueva normativa para trabajar los cambios necesarios y llevar a cabo una buena adaptación.


Qué necesitamos saber para estar preparados

Con la anterior regulación, las empresas debían adaptarse a la normativa de la protección de datos personales de las personas físicas que regula la Ley Orgánica 15/1999 y el Reglamento que la desarrolla.


Antes era suficiente con el cumplimiento de estos requisitos:

- Inscripción de ficheros en la Agencia de Protección de Datos. Estos ficheros son los archivos que contienen datos personales ya sea en papel o en nuestros ordenadores. Estos ficheros suelen ser de:

  • Clientes y proveedores

  • Contabilidad

  • Nóminas o recursos humanos

  • Video vigilancia, en su caso

Algunas empresas según la actividad que desempeñen pueden tener otros ficheros que deberían añadirse a los anteriores.


- Elaboración del Documento de Seguridad. Dicho documento contiene las obligaciones que corresponden al responsable del tratamiento de datos, al encargado del tratamiento, así como la estructura de los ficheros, que datos se tratan, que medidas técnicas adopta la empresa para proteger los datos…..


- Suscribir el contrato de prestación de Servicios con aquellos clientes o proveedores a quienes ceden los datos las empresas para ser tratados por si mismos o por subcontratados.


- Obtener el consentimiento de los clientes o proveedores cuyos datos son tratados por la empresa y facilitarles el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO)


- Adaptar la página web a la normativa de la LSSI y a la normativa de la Protección de datos personales, incluyendo en la misma los textos legales obligatorios, es decir la política de privacidad, política de cookies y condiciones de uso.


A partir del 25 de Mayo de 2018, ¿Que pasa?

Dicho esto, el Parlamento Europeo el 27 de abril de 2016 promulgó un Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de

datos personales y libre circulación de los mismos cuya aplicación efectiva se produce el 25 de mayo de 2018.


Una de las novedades principales de la nueva regulación consiste en el principio de responsabilidad pro-activa.

Esto obliga al responsable de los datos (datos personales que se encuentran en sus archivos, es decir, en las empresas) a adoptar todas las medidas necesarias para el correcto tratamiento de los mismos y lo que es más importante a poder demostrarlo -en su caso- a las autoridades competentes en la materia.

Es por ello que las empresas deben ponerse al corriente en las obligaciones que hemos indicado.


Otro de los propósitos en esta materia es la

transparencia, de forma que será necesario obtener el CONSENTIMIENTO EXPLÍCITO de los titulares que facilitan datos personales y archivar estos consentimientos para poder exhibirlos a requerimiento de las autoridades de la Agencia de Protección de Datos y en especial en lo supuestos en que se pretenda enviar publicidad.

Asimismo las empresas deberán facilitar a los interesados el acceso al ejercicio de los derechos sobre los datos personales.

A partir del 25 de mayo de 2018, se suprimen algunas obligaciones como son la inscripción de ficheros y el documento de seguridad, pero en aquellas empresas que tengan datos sensibles, o elaboren perfiles entre otros, deberán realizar una evaluación de impacto o de riesgo. Es decir, una especie de documento de seguridad explicando las operaciones de tratamiento de datos y fines de tratamiento, la necesidad y proporcionalidad de las operaciones, medidas previstas para afrontar riesgos.

Las empresas con más de 250 trabajadores deberán nombrar un DELEGADO DE PROTECCIÓN DE DATOS y llevar un REGISTRO DE ACTIVIDADES.