Las novedades sobre la Protección de Datos ¡fácil de entender!

¿Por qué es importante la protección de datos?

– Diariamente estamos facilitando nuestros datos de carácter personal para realizar actividades cotidianas, y más aún, con las nuevas tecnologías los datos de carácter personal circulan por internet a una gran velocidad: compras online, reservas de viajes, transferencias bancarias…
– Hay quien dice incluso que los datos son el petróleo del siglo XXI
– Estamos hablando de un gran mercado y es importante que exista una legislación que regule este mercado para garantizar la seguridad del mismo.
– Como usuarios necesitamos estar seguros que nuestros datos no van a ser usados para fines ilícitos o tratados de forma irregular
– Como empresas o titulares de negocios necesitamos tratar los datos personales de forma adecuada, no solo para evitar sanciones, también el desprestigio que supone para la empresa una mala gestión, como puede ser una fuga de datos.

¿Cómo adaptar mi empresa al Reglamento Europeo de Protección de Datos?
– Reglameto UE 2016/679 (RGPD)
– Cambia el modelo de gestión de la protección de datos
– Privacidad desde el diseño y por defecto
– No basta con cumplir la normativa, hay que poder demostrarlo, por lo que todo tiene que estar muy bien documentado.
– Importante contar con asesoramiento jurídico experto.
¿Qué sanciones hay en caso de incumplimiento?
Se prevén sanciones económicas de hasta 20 millones de euros o un 4% del volumen de facturación anual global de la empresa.

¿Qué es el DPO?
El Delegado de Protección de Datos es una nueva figura creada por el RGPD, obligatoria para determinadas empresas, pero muy recomendable para todas.
Se trata de una figura cuya principal función es coordinar y dirigir la política de protección de datos de una empresa o negocio, y servir de nexo de unión entre el responsable y la autoridad de control (AGPD).
Puede ser una persona de la propia empresa o contratarse a un profesional externo, pero siempre será nombrado atendiendo a sus cualificaciones profesionales.
No es obligatorio que esté acreditado, sin embargo, siempre ofrecerá más garantías un DPO acreditado.
(No olvidemos que hay que acreditar el cumplimiento)

¿Cuáles son las novedades principales del Reglamento General de protección de datos?

Además de implantar el modelo de privacidad desde el diseño y por defecto y la figura del DPO, el reglamento contiene otras importantes novedades.
– Forma de obtención del consentimiento
– Nuevos derechos para los interesados (derecho al olvido, portabilidad, limitación).
– Necesidad de notificar las violaciones de privacidad a la AGPD en un plazo de 90 días

¿Qué plazo tengo para adaptar mi empresa a lo dispuesto en la directiva?

El RGPD entró en vigor en 2016, pero él mismo retrasa su aplicación hasta el 25 de mayo de 2018, ese día la nueva normativa será plenamente aplicable y todas las empresas tienen que estar adaptadas a ella.
¿Qué servicios ofrece Letradox a las empresas en relación a protección de datos?
Sistema 360, acompañamos al cliente en todo el proceso.
– Implementación o adaptación (obtención del consentimiento, formación a los miembros de la empresa, Análisis de riesgos, Evaluaciones de Impacto, Registro de actividades de tratamiento…)
– Procedimientos ante la AGPD
– Procedimientos judiciales relacionados con esta materia

Puedes ver este vídeo relacionado:

 

¿Qué novedades incorpora el nuevo Reglamento General de Protección de Datos? ¿Qué tiene que hacer mi empresa para adaptarse al mismo?

A partir del 25 de mayo de 2018 será plenamente aplicable la nueva normativa europea sobre protección de datos de carácter personal.
Esta nueva legislación supone un gran cambio en todo el modelo de gestión de los datos de carácter personal a nivel europeo, pero con implicaciones mundiales.
En este artículo vamos a repasar brevemente las principales novedades que incorpora el Reglamento General de Protección de Datos y como éstas pueden afectar a nuestros negocios.
El 27 de abril de 2018 fue aprobado el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Aunque fue aprobado en 2016, su artículo 99.2 determina que su aplicación se producirá a partir del 25 de mayo de 2018.
Este Reglamento es de aplicación directa en todo el territorio de la Unión, sin embargo, el mismo habilita a los Estado miembros a desarrollar sus propias leyes internas para desarrollar y precisar determinados aspectos del mismo. En España, el Proyecto de Ley Orgánica de Protección de Datos se encuentra en fase de tramitación parlamentaria, no obstante, el mismo tendrá que estar plenamente en vigor desde el momento en que sea aplicable el Reglamento General de Protección de Datos.
Cabe destacar que esta nueva normativa supone un cambio de un modelo más formalista en cuanto a las acciones a realizar por las empresas (registro de ficheros, elaboración de documento de seguridad…) a un sistema de Responsabilidad Activa, en el que es el propio responsable quien tiene que acreditar que el tratamiento de los datos de carácter personal que está llevando a cabo es acorde con la normativa vigente.
No podemos olvidar que una de las principales novedades del Reglamento es el incremento de la cuantía de las sanciones económicas en caso de incumplimiento de sus disposiciones. Así, una empresa puede llegar a ser multada con hasta 20 millones de euros o hasta el 4% del volumen de su facturación anual.
Además, en esta era de la comunicación en la cual nos encontramos; con unos consumidores cada día más formados en el uso de las herramientas digitales y su implementación para realizar acciones de la vida cotidiana, tales como consultar su banco online o contratar unas vacaciones, un error en la gestión de los datos de carácter personal imputable a una compañía puede suponer perjuicios irreparables a nivel reputacional, pues nadie quiere tratar con una empresa que no garantice una adecuada protección de los datos personales de sus usuarios.
Por todo ello, hemos de tener muy presente la necesidad de adaptar nuestro negocio a la normativa sobre protección de datos antes de que sea demasiado tarde.
A grandes rasgos, el RGPD incorpora las siguientes novedades:
El consentimiento
Se trata de uno de los supuestos que legitiman el tratamiento de los datos por parte del responsable.
El RGPD destaca que el mismo tiene “darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen” (Considerando 32)
No será válido, por tanto, el consentimiento obtenido por omisión o inactividad.
Tratamientos de datos de menores
El RGPD fija la edad para el consentimiento de los menores en relación a sus datos de carácter personal a los 16 años. Para menores de esta edad será necesario el consentimiento de sus padres o tutores.
Sin embargo, el RGPD permite que los Estados miembros fijen una edad inferior siempre que no sea por debajo de los 13 años. Precisamente el Proyecto de la LOPD en tramitación fija en 13 años de edad la edad mínima para que un menor pueda prestar su consentimiento en esta materia.
Nuevos Derechos de los interesados
La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 contenía los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). La nueva normativa incorpora otros derechos como el Derecho a la Portabilidad, el Derecho al Olvido, o el Derecho a la limitación del tratamiento.
El Derecho a la Portabilidad se refiere a la posibilidad de obtener del responsable una copia de los datos de carácter personal que le hayamos facilitado anteriormente en un formato “estructurado, de uso común y lectura mecánica”, para poder transmitirlo a otro responsable.
El Derecho al Olvido es la concreción de los tradicionales derechos de rectificación y oposición aplicados al entorno online. Siguiendo con la interpretación que el Tribunal de Justicia de la Unión Europea realizó de esta cuestión en su importante sentencia de 13 de mayo de 2014, el derecho al olvido supone la posibilidad de ejercitar estos derechos frente a los buscadores, sin necesidad de dirigirse contra el alojador del contenido.
La limitación del tratamiento consiste en la posibilidad de solicitar al responsable del tratamiento una limitación en el uso de los datos en determinadas circunstancias como son: inexactitud de los datos, ilicitud del tratamiento, que los datos ya no sean necesarios para los fines que se recogieron pero sí para la gestión de reclamaciones o que el interesado se haya opuesto al tratamiento, durante el tiempo que tarde el responsable en verificar que esa oposición cumple todos los requisitos.
Análisis de riesgo
Se trata de un elemento fundamental de la nueva regulación. Es necesario determinar el riesgo que las actividades llevadas a cabo por el responsable pueden suponer para los derechos y libertades de los titulares de los datos.
Para ello se hace imprescindible el análisis exhaustivo de estas actividades. El mismo debe quedar plasmado a través de documentos que permitan al responsable demostrar que efectivamente se ha llevado a cabo este análisis con el fin de determinar qué medidas se deben aplicar para evitar y paliar esos riesgos y cómo han de aplicarse.
Registro de actividades de tratamiento
Todos los responsables y encargados del tratamiento de datos de carácter personal deben llevar un registro de las actividades que realizan con esos datos. El registro debe reflejar, entre otras cuestiones: Nombre y datos de contacto del responsable, encargado, así como sus representantes y el Delegado de Protección de Datos; categorías de tratamientos efectuadas por cada responsable; transferencias internacionales de datos; medidas de seguridad activa aplicadas al tratamiento…
Evaluación de impacto sobre la protección de datos (EIPD)
Cuando el responsable pretenda llevar a cabo tratamientos que conlleven un alto riesgo para los derechos y libertades de los interesados, debería realizar una Evaluación de Impacto sobre la protección de datos.
La EIPD es un instrumento para determinar qué riesgos supone el nuevo tratamiento para los titulares de los datos antes de que el mismo llegue a materializarse, debiendo implementarse las medidas oportunas para evitarlo.
Notificación de violaciones de seguridad de los datos
El Reglamento exige la notificación a la Agencia Española de Protección de Datos (o entidad de control competente en cada caso) de las violaciones de seguridad de los datos que se hayan producido. Esta comunicación tendrá que producirse antes de transcurridas 72 horas desde que el responsable tenga conocimiento de la misma.
Se exceptúan de esta obligación aquellos casos en que se considere improbable que dicha violación de la seguridad pueda afectar a los titulares de los datos.
Cualquier violación de la seguridad tiene que estar documentada.
Delegado de Protección de Datos
Es una nueva figura creada por el Reglamento General de Protección de Datos que será obligatoria para los siguientes casos:
– Autoridades u organismos públicos
– Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática a gran escala
– Responsables o encargados que tengan entre sus actividades principales el tratamiento de datos personales de categorías especiales de datos (datos sensibles).
Además, el Proyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, amplía los supuestos obligatorios a otros como: colegios profesionales, centros docentes de enseñanza reglada, entidades que exploten redes y presten servicios de comunicaciones electrónicas, prestadores de servicios de la sociedad de la información, establecimientos financieros de crédito, entidades aseguradoras y reaseguradoras, entidades que desarrollen actividades de publicidad y prospección comercial…
Transferencias internacionales
En esencia sigue el mismo régimen que la normativa anterior, aunque incorpora algunas novedades como las siguientes:
Se amplían los elementos para ofrecer garantías de la seguridad de la trasferencia (como son las Normas Corporativas Vinculantes, los Códigos de Conducta o los Esquemas de Certificación). En estos casos no se hará necesaria la autorización por parte de la autoridad de control.
Se añade la posibilidad de que el responsable pueda transferir datos a terceros países que no presenten un nivel adecuado de protección si esa transferencia es necesaria para servir a intereses legítimos imperiosos del responsable del tratamiento, si no prevalecen sobre ellos los intereses o los derechos y libertades del interesado y el responsable ha evaluado todas las circunstancias concurrentes en la transferencia de datos.
Por todo lo dicho, podemos concluir que es necesario adaptarse lo antes posible a esta nueva regulación, y hacerlo en todo momento asesorado por abogados expertos en la materia que puedan guiarnos en cada una de las fases de la aplicación, estableciendo un plan de trabajo y asegurándose que cada gestión realizada es acorde a derecho.
Solo de este modo podremos evitar tanto la imposición de sanciones por parte de la Agencia Española de Protección de Datos como el desprestigio que puede producir una gestión inadecuada de los datos de carácter personal.

Te estamos esperando para ayudarte a la nueva normativa de protección de datos.

Llámanos a los tlf. 645958948 / 912980061 / info@letradox.es