¿Qué es el Reglamento General de Protección de Datos, RGPD? El RGPD es una norma europea directamente aplicable, que aspira a unificar la normativa de los estados miembros de la Unión Europea en materia de Protección de Datos. Este RGPD no requiere de normas internas de cada país para que sea de aplicación, por lo que debemos considerarla como principal norma de referencia, sin que sea necesario esperar que se apruebe una nueva Ley Orgánica de Protección de Datos (LOPD). En el momento que una nueva LOPD sea aprobada podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite. ¿En qué se diferencia de la actual LOPD? El RGPD contiene muchos conceptos, principios y mecanismos similares a los establecidos por la normativa vigente, por lo que las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento. Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.
¿A partir de cuándo hay que aplicarlo? El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. Hasta entonces, las entidades y organizaciones (responsables y encargados de tratamiento) deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación.
¿A qué empresas u organizaciones se aplica? El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
¿Supone una mayor carga de obligaciones para las empresas? El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora. El Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos. Por ello, es necesario realizar un análisis de riesgo de los de datos para poder determinar qué medidas han de aplicar y cómo hacerlo.
¿Cambia la forma en la que hay que obtener el consentimiento? Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión. Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
¿Deben las empresas revisar sus avisos de privacidad? Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la normativa actual no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos, si creen que hay un problema con la forma en que están manejando sus datos. El Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.
No lo dude, cumplir con la ley tiene fácil solución gracias a la plataforma Leyprodatos.es. |
Recuperar clave |
Leyprodatos, la primera plataforma de software lopd online, le guiará y ayudará a realizar usted mismo el proceso de adaptación a la LOPD y el RGPD, disponiendo en todo momento de la asistencia de nuestros expertos.