El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente en materia de Protección de Datos (LOPD) y que comenzará a aplicarse el 25 de mayo de 2018. Este reglamento pasa a ser el reglamento válido y de obligatorio cumplimiento para todas las empresas y organizaciones de la UE, y siempre prevalecerá como norma general respecto del resto de normativa y jurisprudencia.

 

Los principales cambios que aporta la nueva RPGD a las empresas son los siguientes:

 

  • Principio de Responsabilidad Proactiva:

Es necesario que el responsable del tratamiento de los datos aplique medidas y técnicas organizativas adecuadas para garantizar y poder demostrar que se tratan los datos conforme el Reglamento. En términos prácticos, las empresas deben disponer de un análisis de los datos que utilizan, qué uso hacen y con qué operaciones las tratan de forma documentada para poder informar a los interesados o en la administración.

 

  • Enfoque de Riesgo:

Es necesario valorar para cada conjunto de datos de la empresa cuál es su nivel de riesgo para las personas dependiendo de su naturaleza y de su volumen. Dependiendo del ámbito, tipo de negocio y contexto, cada empresa deberá modular sus actuaciones respecto a los datos.

 

  • Consentimiento:

Hasta ahora, el consentimiento expresado por las personas físicas en informarles de sus derechos se podía realizar con confirmación por omisión (dejando casillas marcadas en formularios o con cláusulas informativas al pie de documentos indicando el consentimiento tácito). El RGPD exige que el consentimiento debe ser explícito e inequívoco. La empresa debe disponer de documentación o registro firmado con el consentimiento activo del interesado.

 

  • Nuevos derechos para las personas físicas

A los derechos actuales de Acceso, Rectificación, Cancelación y Omisión, se añaden ahora tres más:

  • Derecho al Olvido: El interesado podrá pedir a las empresas que eliminen TODOS sus datos, tanto las actuales como las históricas. La empresa deberá cumplir este mandato en el periodo máximo de 1 mes a la comunicación y deberá informar al interesado cuando esté realizado.
  • Derecho a la limitación en el tratamiento: El interesado puede solicitar que sus datos no se utilicen durante un periodo para la tarea que las dio y queden bloqueadas por su uso. La empresa no las puede borrar y debe conservarlas evitando usarlas. 
  • Derecho a la portabilidad: El interesado tiene el derecho de pedir sus datos que dispone la empresa y ésta se las debe entregar en un formato portable, legible o compatible con sistemas universales que le permitan hacer uso con otros responsables.

 

  • Documentación de las operaciones de tratamiento:

Los responsables del tratamiento de los datos, siguiendo el criterio de proactividad que persigue la RGPD, deberán llevar un registro de las operaciones de tratamiento que realizan sobre los datos.

 

  • Evaluaciones de Impacto relativas a la Protección de Datos:

Cuando sea probable que un tratamiento de datos, especialmente si se utilizan las nuevas tecnologías y comunicaciones, por su volumen, contexto o finalidad, suponga un riesgo importante para la seguridad de los datos de las personas, el responsable del tratamiento deberá efectuar una evaluación previa de su impacto antes de comenzar su tratamiento.

 

  • El Delegado de Protección de Datos (DPD):

El RGPD introduce la figura del Delegado de Protección de Datos (DPD) como el experto responsable en Protección de Datos que asesora la empresa en el cumplimiento del reglamento. Esta persona puede formar parte de la plantilla laboral de la empresa o ser un profesional externo sujeto a un contrato de servicios. Es recomendable a todas las empresas disponer de un DPD, pero es obligatorio para aquellas empresas que más traten con datos sensibles.