La entrada en vigor del RGPD, el nuevo Reglamento General de Protección de Datos, el 25 de Mayo de 2018, va a generar importantes cambios en la práctica diaria de las empresas. En esta publicación te vamos a explicar cómo aplicar el RGPD.
Este nuevo reglamento regulará todo lo relacionado con la protección de los datos personales de las personas físicas en el ámbito de la UE. Su objetivo por tanto es controlar el uso que las empresas hacen de los datos personales de las personas físicas.
También los datos tratados por empresas fuera de Europa se ven afectados, siempre que su actividad afecte a personas físicas de la Unión Europea. En España, el RGPD sustituirá a la actual LOPD (Ley Orgánica de Protección de datos de carácter personal), que seguirá vigente hasta la implantación de la nueva regulación.
Sanciones millonarias por no aplicar el RGPD
Un elemento importante son las sanciones que se pueden producir en caso de no cumplir con el Reglamento. No tienen mínimo y pueden alcanzar el 4% del volumen de negocio o 20 millones de euros, lo que sea mayor. Con la LOPD eran de un mínimo de 900 euros y un máximo de 600.000. Esto ha hecho que las empresas hayan empezado a preocuparse sobre esta normativa.
¿En qué consiste el RGPD?
Veamos ahora en qué consiste la normativa y qué medidas debemos ir tomando para velar por su aplicación en nuestra empresa.
Principios y derechos que protege el RGDP
- El principio de transparencia. Los datos han de ser tratados de manera lícita, leal y transparente. Para ello se debe llevar un Registro de actividades de tratamiento, del que luego hablaremos.
- Principio de limitación de la finalidad. Los datos permitidos deben ser adecuados y limitados a lo necesario en relación con los fines para los que se tratan.
- Se mantienen los derechos ARCO de la LOPD. (Acceso, Rectificación, Cancelación y Oposición). Y se añaden los siguientes derechos:
- Derecho al Olvido: La información personal puede ser eliminada de los proveedores de servicios de Internet cuando se desee.
- Derecho a la Portabilidad: A transmitir los datos del responsable de una empresa a otro, cuando sea necesario, con la única limitación de lo técnicamente posible.
Información al recabar datos personales
La LOPD ya establece, al consentir en proporcionar datos personales, que hay que informar de una serie de datos. En concreto, el responsable del fichero y la finalidad de la recogida de derechos. También, la posibilidad de ejercer derechos de acceso, rectificación, cancelación y oposición.
Ahora también habrá que informar de la base legal del tratamiento de datos, del periodo de conservación, la identificación –si procede- del DPO (nueva figura del Delegado de Protección de Datos, solo para determinadas empresas). También, si habrá o no transferencia internacional de datos y decisiones automatizadas y del derecho a presentar reclamaciones.
El consentimiento de datos personales
El consentimiento debía ya ser inequívoco con la LOPD, pero se permitía para datos no sensibles que fuera tácito.
Para el RGPD, el consentimiento debe ser libre, informado, específico y siempre basado en una declaración del interesado o una acción positiva. Es decir, que el silencio, las casillas pre-marcadas o la inacción no serán consentimientos válidos.
Además, debe solicitarse de nuevo el consentimiento para aquellos datos que se obtuvieron antes del RGPD de manera tácita.
Por último, no se podrán obtener datos de menores de 16 años sin consentimiento de sus padres o tutores, salvo que la regulación nacional establezca una edad inferior. Esta edad nunca podrá ser de menos de 13 años. La LOPD establece actualmente un mínimo de 14 años, sin necesidad de recabar el consentimiento de los padres.
Los contratos de tratamiento de datos
Deben constar por escrito y detallar las instrucciones del responsable de los datos al encargado de tratamiento de los mismos en relación con las medidas de seguridad. También debe figurar el régimen de subcontratación, la confidencialidad y el destino de los datos tras el tratamiento.
El registro de actividades de tratamiento de datos
No era regulado por la LOPD. Dicho registro debe contener:
- Tratamiento de los datos a realizar.
- Qué datos personales se tratan los destinatarios.
- Destinatarios de los datos.
- Periodo de conservación.
- Finalidad del tratamiento.
- Medidas técnicas y de seguridad adoptadas por la empresa.
¿Cómo puedo prepararme para el RGPD?
Lo primero es que saber la categoría de empresa al que perteneces según la RGPD y según el tipo de datos que tratas.
Extra Software se puede encargar de realizar un Informe de Seguridad que ayude tu empresa a cumplir con la RGPD.
Si estás interesado en empezar a aplicar el RGPD, contacta con nosotros y te diremos los pasos a seguir.
Queremos ayudarte a que pases este examen con buena nota. 🙂