En el siguiente articulo te explicamos algunas cosas que debes tener en cuenta para cumplir la nueva normativa RGPD.
El nuevo Reglamento General de Protección de Datos (RGPD) fue aprobado el 27 de abril de 2016 por la Unión Europea, y entrará en vigor el 25 de mayo de 2018.
El pasado 24 de noviembre de 2017 se presentó el proyecto de ley Orgánica de Protección de Datos de Carácter Personal al congreso de los Diputados, a día de hoy, todavía no se ha publicado la nueva ley, por lo tanto, seguiremos hablando de LOPD, la nueva normativa tiene como principal objetivo la protección de las personas físicas ante el tratamiento y la libre circulación de cualquier tipo de datos personales.
Contents
Principios del tratamiento RGPD 2018
El tratamiento de los datos solo será licito en los siguientes supuestos:
- Consentimiento del interesado
- Relación contractual
- Intereses vitales del interesado o de otras personas
- Obligación legal para el responsable
- Interés publico o ejercicio de poderes públicos
- Para la satisfacción de intereses legítimos prevalentes del responsable o de terceros
El artículo 5 del Reglamento General de Protección de Datos (RGPD) resume los principios a tener en cuenta en el uso, tratamiento y almacenamiento de datos de carácter personal a partir del próximo 25 de mayo de 2018. Estos son los siguientes:
El tratamiento de los datos solo será licito en los siguientes supuestos:
- Consentimiento del interesado
- Relación contractual
- Para la satisfacción de intereses legítimos prevalentes del responsable o de terceros.
- Intereses vitales del interesado o de otras personas
- Obligación legal para el responsable
- Interés público o ejercicio de poderes públicos
El principio de transparencia exige que se informe al interesado de la existencia de la operación de tratamiento y sus fines, se debe informar al interesado sobre la información del tratamiento de sus datos en el momento en que se obtengan de ellos, o si se obtienen de otra fuente, en un tiempo razonable.
Los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados después de manera incompatible con dichos fines.
Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento.
Los datos personales deben ser exactos y estar siempre actualizados. Además, se establece que se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación si los datos son inexactos con respecto a los fines para los que se tratan.
Los datos personales deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
Los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada mediante la aplicación de medidas de control apropiadas.
Nuevos derechos Reglamento General Protección de Datos
A los ya existentes derechos ARCO (acceso, rectificación, cancelación y oposición) se añaden los siguientes:
El derecho de acceso es el derecho a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.Derecho a rectificar datos inexactos, a que se completen los datos personales incompletos, inclusive mediante una declaración adicional.Derecho del afectado a que se supriman los datos que resulten ser inadecuados o excesivos.Derecho a oponerse al tratamiento de tus datos personas cuando por motivos relacionados con tu situación personal, debe cesar el tratamiento de tus datos salvo que se acredite un interés legítimo, o sea necesario para el ejercicio o defensa de reclamaciones o cuando el tratamiento tenga por objeto la mercadotecnia directa.Sería más bien un principio, que impregna toda la nueva normativa, pero específicamente se presenta como el derecho a ser informados sobre el tratamiento que van a recibir tus datos.El derecho al olvido es el derecho que tienen los ciudadanos a solicitar a los responsables que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando se hayan recogido de forma ilícita.Este derecho consiste en reconocer la potestad de los interesados de solicitar y obtener del responsable del tratamiento o fichero, una limitación del tratamiento de sus datos personales cuando concurran los siguientes escenarios: Inexactitud, Ilicitud, Reclamaciones u Oposición.El derecho a la portabilidad implica que el interesado podrá solicitar recuperar sus datos en un formato estructurado, de uso común y lectura mecánica, y poder transmitirlos a otro responsable, siempre que sea técnicamente posible.Este derecho alude a la imposibilidad de ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o te afecte. Se exceptúa cuando sea necesario para la celebración o ejecución de un contrato, cuando esté permitido por el Derecho de la UE o de los Estados Miembros, con medidas adecuadas para salvaguardar los derechos y libertades del titular de los datos y exista consentimiento explícito del titular de los datos
Otras consideraciones a tener en cuenta
Además del cumplimiento de los anteriores derechos y principios, se deben tener en cuenta las siguientes medidas contempladas en el nuevo reglamento:
Las empresas deberán designar un Delegado de Protección de Datos (DPD, DPO o Data Protection Officer en la redacción original del texto en inglés) si concurren determinadas circunstancias.
Obligatorio:
- Cuando la actividad principal de la empresa consista en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala.
- En el tratamiento de categorías especiales de datos personales.
- En el tratamiento de datos relativos a condenas o infracciones penales.
- Gran Empresa.
- Sector Público (excepto los Tribunales en su función judicial).
- Colegios Profesionales.
- Centros Docentes.
- Universidades.
- Centros Sanitarios.
- Empresas Juego Online.
- …
Las funciones del DPO son las siguientes:
- Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General.
- Debe dejar constancia por escrito de las comunicaciones con el responsable del tratamiento y sus respuestas.
- Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen:
- asignación de responsabilidades
- formación del personal
- auditorias cumplimiento
- Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
- Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
- Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.
Se establece la obligación de realizar evaluaciones de impacto antes de realizar determinados tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, se requerirá en caso de:
- Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en la elaboración de perfiles mediante un tratamiento automatizado.
- Tratamiento a gran escala de las categorías especiales de datos.
- Observación sistemática a gran escala de una zona de acceso público.
Se establece la obligación al responsable del tratamiento de notificar a la autoridad competente (AEPD en España) cualquier brecha de seguridad que se haya producido en el plazo de 72 horas desde que ocurra. Si la brecha de seguridad implicara un riesgo para los interesados, se les deberá notificar a ellos también.
Las sanciones se intensifican. Si hasta mayo de 2018 las sanciones van desde 900 a 600.000 euros, a partir del 25, no se establecen cuantías mínimas y las máximas pueden alcanzar los 20.000.000 euros o hasta el 4% del volumen de negocio del infractor.
¿PREPARADO YA PARA CUMPLIR EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS?
En Qualgest ofrecemos una solución integral de adaptación al RGPD (Reglamento General de Protección de Datos (UE) 2016/679) y a la LOPD (Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal) que incluye acciones de legitimación y soluciones técnicas orientadas a lograr la máxima garantía de adecuación a la normativa vigente.
Si aún no cuentas con este servicio y quieres saber más, solicítanos información aquí o llámanos al 931875680 y te informaremos
Deja una respuesta