Nuevo
Reglamento - Introducción
Estas
son las principales novedades que establece la nueva norma en relación con el
régimen de la Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal (LOPD).
PRINCIPIOS
DE PROTECCIÓN DE DATOS POR DEFECTO Y DESDE EL DISEÑO. Se deberán adoptar
medidas que garanticen el cumplimiento de la norma desde el mismo momento en
que se diseñe una empresa, producto, servicio o actividad que implique
tratamiento de dato, como regla y desde el origen.
PRINCIPIO
DE TRANSPARENCIA. Los avisos legales y políticas de privacidad deberán ser más
simples e inteligibles, facilitando su comprensión, además de más completos.
Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos,
puedan utilizarse iconos normalizados.
En
ciertos casos, se deberán realizar EVALUACIONES DE IMPACTO SOBRE LA PRIVACIDAD,
que determinen los riesgos específicos que supone tratar ciertos datos de
carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.
Las
empresas multinacionales tendrán como interlocutora a una sola autoridad de
control nacional: la del establecimiento principal de la entidad. Es lo que se
conoce como VENTANILLA ÚNICA.
Las
BRECHAS DE SEGURIDAD deberán ser comunicadas a las autoridades de control y, en
casos graves, a los afectados, tan pronto sean conocidas, estableciéndose el
plazo máximo de 72 horas.
DATOS
SENSIBLES: Se amplían los datos especialmente protegidos, incluyendo ahora los
datos genéticos y biométricos. Se incluyen también en esta categoría las
infracciones y condenas penales, aunque no las administrativas.
La
SELECCIÓN de un encargado del tratamiento se endurece, puesto que habrá que
elegir uno que aporte suficientes garantías de cumplimiento normativo.
GARANTÍAS
ADICIONALES PARA LAS TRANSFERENCIAS INTERNACIONALES DE DATOS: Establecimiento
de garantías más estrictas y mecanismos de seguimiento en relación con las
transferencias internacionales de datos fuera de la Unión Europea.
SELLOS
Y CERTIFICACIONES: Se prevé que se creen sellos y certificaciones de
cumplimiento que permiten acreditar la Accountability por parte de las
organizaciones.
DESAPARECE
LA OBLIGACIÓN DE INSCRIBIR LOS FICHEROS, que se sustituye por un control
interno y, en algunos casos, un inventario de las operaciones de tratamiento de
datos que se realicen, que se intuye de un contenido similar al que actualmente
tiene el formulario NOTA.
SANCIONES:
Las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo
llegar a los 20 millones de euros o el 4% de la facturación global anual (no se
excluye de las multas a las Administraciones Públicas, aunque los Estados
Miembros pueden acordarlo así).
CONSENTIMIENTO.
El consentimiento para poder tratar datos de carácter personal ha de ser
inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro.
No se admite consentimiento tácito.
DERECHO
AL OLVIDO. Se podrá revocar el consentimiento prestado para el tratamiento de
datos personales en cualquier momento, pudiendo exigir la supresión y
eliminación de los datos en redes sociales o buscadores de internet.
DERECHO
A LA LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo
temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
PORTABILIDAD
DE LOS DATOS. Se permitirá al ciudadano solicitar la transferencia de los datos
personales de un proveedor de servicios en Internet a otro.
DENUNCIAS.
Se podrán presentar denuncias a través de asociaciones de usuarios.
INDEMNIZACIONES.
Se reconoce la posibilidad de exigir indemnización de daños y perjuicios
derivados del tratamiento ilícito de los datos personales.
El responsable del fichero podrá establecer un
CANON a la contestación de los ejercicios del derecho de acceso, teniendo en
cuentas los costes administrativos que ello le suponga.
No
obstante lo anterior, aún EXISTEN MUCHOS ASPECTOS PENDIENTES DE DESARROLLO Y
CONCRECIÓN. Los Estados Miembros, las autoridades de control, el Comité Europeo
de Protección de Datos y la Comisión deberán precisar multitud de elementos que
aparecen en el RGPD demasiado ambiguos o inconcretos.
En
todo caso, las disposiciones contenidas en el Reglamento son directamente
aplicables en cada uno de los Estados Miembros, sin necesidad de trasposición y
obliga a las empresas privadas e instituciones públicas a afrontar un
importante proceso de readaptación normativa.
Sin
embargo, el RGPD no deroga automáticamente la LOPD y su Reglamento de
desarrollo. Simplemente desplaza estas en la medida en que resulten incompatibles
con él. En aquellos ámbitos en que dicha incompatibilidad no se produzca, ambas
normativas coexistirán, lo que hace prever no pocos problemas prácticos e
interpretativos, cuya resolución exigirá la asistencia de profesionales
especializados que ofrezcan suficientes garantías.
El
proceso de readaptación no es técnicamente fácil, por lo que será importante
para las empresas contar con un asesoramiento jurídico especializado que
ofrezca suficientes garantías.
empresa
de protección de datos
Pida
un presupuesto de protección de datos
Pida
presupuestos a empresas asociadas a la Asociación de Empresas de Protección de
Datos
Contenido curado
por Isabel Asolo (Community Manager) HERAS ABOGADOS BILBAO S.L.P.
No hay comentarios:
Publicar un comentario