Cambios y obligaciones del nuevo RGPD

Como ya contamos en el post ‘¿Quién debe disponer de un Delegado de Protección de Datos?’, a partir del próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo General de Protección de Datos (RGPD).

Además, queda pendiente la aprobación de la nueva Ley Orgánica de Protección de Datos que se encuentra en tramitación parlamentaria y que, muy probablemente, no estará lista para el próximo 25 de mayo, fecha de aplicación del Reglamento Europeo. De todas formas, esto no supone ningún tipo de ventaja o inconveniente, puesto que el Reglamento Europeo será plenamente exigible de todas formas.

Consejos para cumplir con el Reglamento RGPD

Es importante establecer un mapa de ruta para cumplir con el nuevo Reglamento, ya que hay numerosas decisiones jurídicas relevantes a tener en cuenta.

El primer paso que todas las empresas deberían ejecutar, es identificar y analizar las áreas de riesgo, así como documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. De esta manera, será más sencillo clasificar los datos de acuerdo con su naturaleza, finalidad, categoría, origen, etc.

Son muchas las obligaciones que tanto las empresas, autónomos y organismos públicos y privados que traten datos de carácter personal deben conocer y el tiempo es escaso, por lo que es necesario adoptar sin dilación las decisiones necesarias para llegar a ese plazo en situación de cumplimiento. En caso de no hacerlo, pueden producirse posibles sanciones; las multas pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global del infractor. Asimismo, cabe destacar que la autoridad de control puede actuar de oficio o por denuncia de los interesados.

En cuanto a los cambios y obligaciones que afectan a las empresas, podemos destacar los siguientes:

• Delegado de Protección de Datos (DPD / DPO). El Reglamento obliga a nombrar un DPO a aquellos que realicen ciertos tratamientos. Este DPO deberá ser una persona experta en Protección de Datos y en métodos y técnicas de Seguridad de la información. Podrá ser externo o interno.

• Exigencia de la realización de una evaluación de impacto relativa a la protección de datos para ciertos tratamientos.

• Violaciones de la seguridad de los datos personales. Obligatoriedad de comunicarlas en un plazo de 72 horas a la Agencia Española de Protección de Datos y, en casos graves, a los propios afectados.

• Se elimina el consentimiento tácito (por silencio), lo que obligará a las empresas a recabar un nuevo consentimiento para poder mantener todos aquellos datos que en el pasado se obtuvieron tácitamente o buscarles otra cobertura legal.

• Se amplían las obligaciones de información a los afectados, lo que obligará poner al día a los ya existentes.

• Se amplía el contenido mínimo en los contratos de acceso a datos por parte de terceros, por lo que deberán establecerse de nuevo los contratos con los encargados de tratamiento, dado que los actuales no cumplen con el RGPD.

• El RGPD no establece diferenciación entre datos personales y datos ‘profesionales’ (datos de contacto de personas físicas que prestan sus servicios en una persona jurídica y empresarios individuales) como estableció el vigente Reglamento, lo que obligará a las empresas a tener que realizar acciones informativas a esta categoría de datos.

Para más información, puede contactar con la asesoría mercantil de GD Asesoría.