El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), aunque no será aplicable hasta el 25 de mayo de 2018. El transcurso de 2 años hasta su aplicación se debe principalmente a la adaptación por parte de las distintas entidades a las novedades introducidas en este Reglamento respecto de la actual Ley Orgánica de Protección de Datos. Entre las novedades más importantes encontramos las siguientes:

  1. En primer lugar, se modifica el ámbito de aplicación territorial. Ya no estará destinado únicamente a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, sino también a responsables o encargados no establecidos en la Unión Europea cuyas actividades de tratamiento estén vinculadas con la oferta de bienes o servicios dirigidos a ciudadanos de la UE o con el control del comportamiento de éstos dentro de la Unión.
  2. Otra novedad relevante es la introducción de nuevos derechos de los interesados, como es el derecho al olvido y el derecho a la portabilidad. El primero consiste en el derecho de los ciudadanos de que su información personal no sea difundida a través de internet cuando ya no exista consentimiento, cuando los datos hayan sido obtenidos de forma ilícita o cuando ya se haya cumplido el fin para el que fueron recogidos. El segundo conlleva que aquel que haya facilitado sus datos a un responsable que los esté tratando de forma automatizada, podrá solicitar su recuperación en un formato que permita su traslado a otro responsable.
  3. El RGPD añade una exigencia en relación con el consentimiento prestado para el tratamiento de datos. La LOPD admitía el consentimiento tácito, pero en la futura normativa solo se considerará válido el consentimiento libre, específico, informado e inequívoco conformado a través de una acción positiva en la que se muestre claramente la conformidad.
  4. Uno de los aspectos esenciales en la nueva normativa es la responsabilidad proactiva, que se basa en la adopción de medidas de prevención por parte de las empresas que van a tratar datos. Las medidas principales que se prevén son:
  • Protección de datos desde el diseño y por defecto : mplican medidas técnicas y organizativas de garantía de cumplimiento antes y durante el proceso de tratamiento.
  • Evaluaciones de impacto sobre la protección de datos: Están obligadas aquellas entidades cuyo tratamiento pueda presentar un riesgo alto y específico para los derechos y libertades de los interesados.
  • Medidas de seguridad: Ya no se aplican en función de nivel básico, medio o alto de los datos, sino que se observará la naturaleza, el alcance, el contexto y los fines del tratamiento, los riesgos para los derechos y libertades de las personas y el estado de la técnica y coste de aplicación.
  • Registro de actividades de tratamiento: Obligación para aquellas organizaciones con más de 250 personas cuyo tratamiento pueda presentar un riesgo para los derechos y libertades de los interesados.
  • Delegado de protección de datos: Se encarga de coordinar y controlar el cumplimiento de la normativa en materia de protección de datos.
  • Notificación de violaciones de protección de datos: Se debe notificar a la AEPD en un plazo de 72 horas los fallos de seguridad que se originen en su organización.

¿Hemos solucionado tus dudas? Si necesitas asesoramiento de nuestros profesionales,  comunícate con nosotros.