T: +34 955 26 89 56 | protecciondedatos@talentoprotec.com

Principales novedades que trae consigo el nuevo RGPD

El Parlamento Europeo y el Consejo han aprobado finalmente el Reglamento General de Protección de Datos (RGPD), que, con la aspiración de unificar los regímenes de todos los Estados Miembros sobre la materia, ha entrado en vigor el día 25 de mayo de 2016, si bien su cumplimiento sólo será obligatorio transcurridos dos años desde dicha fecha.

Estas son las principales novedades que establece la nueva norma en relación con el régimen de la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

NUEVOS PRINCIPIOS:

  • PRINCIPIO DE RESPONSABILIDAD (ACCOUNTABILITY). Habrá que implementar mecanismos que permitan acreditar que se han adoptando todas las medidas necesarias para tratar los datos personales como exige la norma. Es una responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que cumplen dichas exigencias, lo cual obligará a desarrollas políticas, procedimientos, controles, etc.
  • PRINCIPIOS DE PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO. Se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
  • PRINCIPIO DE TRANSPARENCIA. Los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos. Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.

NUEVAS OBLIGACIONES PARA EMPRESAS (y AUTÓNOMOS), ADMINISTRACIONES Y OTRAS ENTIDADES

  • En ocasiones, será obligatorio designar un Delegado de Protección de Datos (DPO), interno o externo, que asista a las organizaciones en el proceso de cumplimiento normativo. No obstante, la complejidad de la nueva norma hará muy recomendable esta figura en la inmensa mayoría de organizaciones.
  • En ciertos casos, se deberán realizar EVALUACIONES DE IMPACTO SOBRE LA PRIVACIDAD, que determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.
  • Las empresas multinacionales tendrán como interlocutora a una sola autoridad de control nacional: la del establecimiento principal de la entidad. Es lo que se conoce como VENTANILLA ÚNICA.
  • Las BRECHAS DE SEGURIDAD deberán ser comunicadas a las autoridades de control y, en casos graves, a los afectados, tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
  • DATOS SENSIBLES: Se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
  • La SELECCIÓN de un encargado del tratamiento se endurece, puesto que habrá que elegir uno que aporte suficientes garantías de cumplimiento normativo.
  • GARANTÍAS ADICIONALES PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS: Establecimiento de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la Unión Europea.
  • SELLOS Y CERTIFICACIONES: Se prevé que se creen sellos y certificaciones de cumplimiento que permiten acreditar la Accountability por parte de las organizaciones.
  • DESAPARECE LA OBLIGACIÓN DE INSCRIBIR LOS FICHEROS, que se sustituye por un control interno y, en algunos casos, un inventario de las operaciones de tratamiento de datos que se realicen, que se intuye de un contenido similar al que actualmente tiene el formulario NOTA.
  • SANCIONES: Las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual (no se excluye de las multas a las Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así).

NUEVOS DERECHOS DE LOS CIUDADANOS

  • TRANSPARENCIA e INFORMACIÓN. Las organizaciones, al tratar datos personales, deben proporcionar mayor información y de un modo más inteligible, completo y sencillo, lo que favorecerá la toma de decisiones por el ciudadano. Se tiene una especial consideración con los menores de edad en este punto.
  • CONSENTIMIENTO. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
  • DERECHO AL OLVIDO. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
  • DERECHO A LA LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
  • PORTABILIDAD DE LOS DATOS. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
  • DENUNCIAS. Se podrán presentar denuncias a través de asociaciones de usuarios.
  • INDEMNIZACIONES. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.
  • El responsable del fichero podrá establecer un CANON a la contestación de los ejercicios del derecho de acceso, teniendo en cuentas los costes administrativos que ello le suponga.

 

NUEVO RÉGIMEN SANCIONADOR

En el nuevo escenario, las multas administrativas que se contemplan pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.

Tipos de sanciones del RGPD

El régimen sancionador del RGPD es aplicable cuando el tratamiento de los datos de carácter personal que maneja la empresa, no se adecua a la norma. En su artículo 83.2 se especifica que las multas se establecerán en función a la infracción de que se trate. Y es que, a diferencia de la actual LOPD no existe una tipología establecida de infracciones en leves, graves o muy graves.

Para establecer la cuantía de las sanciones se atenderá al caso particular y se tendrá debidamente en cuenta:

  1. La naturaleza, gravedad y duración de la infracción, estudiando la naturaleza, alcance o propósito de la misma, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
  2. La intencionalidad o negligencia en la infracción.
  3. Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
  4. El grado de responsabilidad del encargado del tratamiento de los datos, habida cuenta de las medidas técnicas u organizativas que hayan aplicado para salvaguardar la información.
  5. Toda infracción anterior cometida por el responsable o el encargado del tratamiento.
  6. El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
  7. Las categorías de los datos de carácter personal afectados por la infracción.
  8. La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
  9. Que el responsable o el encargado de que se trate, en relación con el mismo asunto, ya haya sido sancionado, entre otras, con una advertencia o apercibimiento al cumplimiento de dichas medidas.
  10. La adhesión a códigos de conducta o a mecanismos de certificación aprobados con arreglo al articulado del propio RGPD.
  11. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Por poner algún ejemplo, ahora la cesión de datos a un prestador de servicios sin que se haya suscrito previamente el correspondiente acuerdo, con las medidas de seguridad necesarias y establecidas por el RGPD, que actualmente es castigado con hasta 300.000€, pasará a ser multado hasta con 10 millones de euros o un 2% del volumen de negocio total anual del año anterior.

Otras novedades del RGPD

Esta nueva normativa establece, por primera vez, la posibilidad de que los Estados miembro puedan instaurar sanciones penales por el incumplimiento del RGPD, trascendiendo la vía administrativa.

Además, el afectado que haya sufrido daño y/o perjuicio, ya sea material o inmaterial, como consecuencia de una infracción de su articulado, tendrá derecho a recibir una indemnización del encargado o responsable del tratamiento de los datos.

CONCLUSIONES

No obstante lo anterior, aún EXISTEN MUCHOS ASPECTOS PENDIENTES DE DESARROLLO Y CONCRECIÓN. Los Estados Miembros, las autoridades de control, el Comité Europeo de Protección de Datos y la Comisión deberán precisar multitud de elementos que aparecen en el RGPD demasiado ambiguos o inconcretos.

En todo caso, las disposiciones contenidas en el Reglamento son directamente aplicables en cada uno de los Estados Miembros, sin necesidad de trasposición y obliga a las empresas privadas e instituciones públicas a afrontar un importante proceso de readaptación normativa.

Sin embargo, el RGPD no deroga automáticamente la LOPD y su Reglamento de desarrollo. Simplemente desplaza estas en la medida en que resulten incompatibles con él. En aquellos ámbitos en que dicha incompatibilidad no se produzca, ambas normativas coexistirán, lo que hace prever no pocos problemas prácticos e interpretativos, cuya resolución exigirá la asistencia de profesionales especializados que ofrezcan suficientes garantías.

El proceso de readaptación no es técnicamente fácil, por lo que será importante para las empresas contar con un asesoramiento especializado que ofrezca suficientes garantías.

publi

¿Aún no cumples con el nuevo reglamento de protección de datos- RGPD ? ¿Está tu empresa adaptada correctamente a la LOPD ? Desde Talento Protec te podemos ayudar. Ponte en contacto con nosotros y podremos resolverte cualquiera de tus dudas.

#RGPD #LOPD #reglamentoeuropeodeprotecciondedatos #protecciondedatos #consultoreslopd #talentoprotec

 

Publicado en Protección de datos y etiquetado: , , ,

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies