RGPDEU
Cuenta atrás para aplicar el Reglamento Europeo de Protección de Datos
12 abril, 2017
El Gobierno está revisando las webs que incumplen la normativa LSSI
6 julio, 2017

Nuevo Reglamento Europeo de Protección de Datos. Preguntas frecuentes.

RGPDEU SPAIN GDPR

El Reglamento Europeo de Protección de Datos resulta novedoso y desconocido, pero poco a poco empresas y organismos tienen mayor conciencia de su existencia.

Cada vez nos resulta más familiares las abreviaturas: RGPDEU (siglas en castellano), o: GDPR (General Data Protection Regulation, en inglés).

Vamos a responder de forma general, breve y sencilla a las preguntas más frecuentes que nos plantean empresas y organismos en referencia a esta nueva normativa de protección de datos.

Auditta

1. ¿Cuándo entra en vigor? ¿Cuándo es obligatorio aplicarlo?

El Reglamento entró en vigor el 25 de mayo de 2016 y su cumplimiento es obligatorio a partir del 25 de mayo de 2018.

2. Entonces, ¿ya no tengo que cumplir la Ley Orgánica de Protección de Datos (LOPD)?

Si, tienes que cumplirla. La LOPD sigue siendo plenamente válida y aplicable hasta el 25 de mayo de 2018. Hasta entonces convivirán la LOPD y el RGPDEU.

3. ¿Y por qué ha entrado el Reglamento ya en vigor sin anular la LOPD?

Este periodo de 2 años permite a los Estados Miembro de la Unión Europea ir preparándose y adaptándose para el momento de su aplicación. Así por ejemplo España está preparando normativa para la aplicación del Reglamento por parte de los responsables de los ficheros ubicados en España.

4. ¿A qué empresas u organismos se aplica el Reglamento? ¿Quienes están obligados a su cumplimiento?

El Reglamento se aplicará como hasta ahora la LOPD a responsables y encargados de tratamiento de datos establecidos en la Unión Europea y fuera de ella que realicen tratamientos de datos personales de ciudadanos residentes en la UE.

Cualquier persona física o jurídica, pública o privada,  y cualquier otro tipo de entidad ubicada en España deberá observar y cumplir el Reglamento en su caso. Al igual que ocurría con la LOPD el Reglamento deberá adoptarse por empresas, autónomos, profesionales, administración pública, servicios u organismos públicos, etc., que realicen tratamientos de datos por cuenta propia o de terceros.

5. Entonces, ¿supone una mayor carga de obligaciones para empresas y organismos?

Supone un mayor compromiso de organizaciones y empresas con la protección de datos, sin duda. Pero ello no implica necesariamente una mayor carga pues dependerá de las obligaciones para gestionar la protección de datos que resulten obligadas en cada caso.

Algunas de las medidas que introduce el nuevo Reglamento son una continuación o reemplazan a otras ya existentes.

Otras medidas si son novedosas (privacidad desde el diseño y por defecto, evaluación de impacto, delegado de protección de datos, nuevos derechos de los ciudadanos, etc.), aunque su obligación y el modo de aplicarse dependerán de factores como: el tipo de datos/tratamiento, costes de implantación, riesgos, etc.

6. He oído que ya no sirve la forma en que informaba de los derechos u obtenía el consentimiento del interesado, ¿cambia la forma de obtener el consentimiento?

Si, el nuevo Reglamento exige que el consentimiento con carácter general sea libre, informado, específico e inequívoco, y en algunos casos también explícito.

El consentimiento obtenido por empresas y organismos deberá ser verificable, debiendo demostrarse que el afectado otorgó su consentimiento.

El Reglamento requiere que haya una declaración o acción positiva de los interesados sin que pueda deducirse el consentimiento del silencio o inacción del titular. Es decir, el consentimiento tácito deja de ser válido.

Recordemos además que en España la edad límite para prestar consentimiento es de 14 años, por debajo de esa edad es necesario el consentimiento de padres o tutores. El aviso de privacidad/consentimiento debe ser entonces fácil de entender incluso por niños.

7. Entonces, ¿debo revisar los avisos de privacidad y protección de datos que estoy usando?

Si porque el nuevo Reglamento en general prevé que se incluyan nuevas informaciones como por ejemplo la base legal para el tratamiento de datos, períodos de retención de los datos, Autoridades disponibles para las reclamaciones de los interesados, etc. Y todo ello de forma que resulte fácil de entender con un lenguaje claro y conciso.

Además existen nuevas herramientas como el principio de transparencia, el derecho al olvido y el derecho a la portabilidad que el responsable de los ficheros deberá también presentar a los afectados o interesados en su caso.

8. ¿Tienen las empresas y organismos que empezar a aplicar ya las medidas del Reglamento?

No. El Reglamento está en vigor pero no es aplicable hasta el 25 de mayo de 2018.

Puede ser útil comenzar a valorar la implantación de algunas de las medidas previstas, siempre que no sean contradictorias con la LOPD puesto que aún está vigente y es la norma por la que se rigen actualmente los tratamientos en España.

Nada impide que se comience a planificar el tratamiento de datos en base al nuevo Reglamento, pero desde Auditta recomendamos prudencia para no perjudicarse en medios y recursos destinados a esta tarea. El nuevo Reglamento supone no pocas novedades que suscitan un gran número de dudas aún. Es por ello que estamos observando continuamente las aclaraciones que paulatinamente están desarrollando desde las distintas Autoridades de protección de datos.

9. Acerca de esas medidas del Reglamento, ¿cuál es la novedad más relevante?

El Reglamento prevé que los responsables (empresas, organismos, etc.) aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos se lleva de conformidad con el Reglamento.

El Reglamento considera insuficiente “no incumplir”, sino que debemos prevenir incumplimientos de forma demostrable y auditable.

Es lo que se denomina RESPONSABILIDAD ACTIVA y su no aplicación es sancionable.

Sancionable Seguridad Activa

 

 

 

 

 

 

Tipos de medidas:

  • Registro de actividades de tratamiento.
  • Medidas de protección de datos desde el diseño.
  • Medidas de protección de datos por defecto.
  • Medidas de seguridad adecuadas.
  • Evaluaciones de impacto.
  • Autorización previa o consultas previas con Agencia de Protección de Datos.
  • Delegado de Protección de Datos (DPD), o Data Privacy Officer (DPO).
  • Notificación de quiebras de seguridad.
  • Códigos de conducta y esquemas de certificación.

10. ¿Quién supervisa el cumplimiento del Reglamento? ¿A qué sanciones se exponen responsables y encargados que incumplan el Reglamento?

Cada Estado Miembro de la Unión Europea tendrá al menos una autoridad encargada de velar por la aplicación del Reglamento. En España es principalmente la Agencia Española de Protección de Datos la encargada de supervisar la aplicación del Reglamento.

Así pues los responsables y encargados con establecimiento único o principal en España estarán bajo dicha supervisión. Si además se opera en otros Estados Miembro (“EM”), se estará también sujeto a otras competencias de supervisión en función de si el tratamiento de los datos es:

  • Transfronterizo puro (establecido en más de un EM o que dispone de interesados en más de un EM)
  • Transfronterizo de interés local (tratamientos de datos o reclamaciones de interesados en uno de los EM donde opera)
  • Local

Agencia Española de Protección de Datos

En caso de infracción el régimen sancionador recoge multas económicas y acciones correctivas que podrán ser aplicadas junto a multas o en lugar de multas.

Las multas económicas son aplicables a responsables y encargados de tratamiento sin límite inferior modulándose su proporcionalidad, disuasión y efectividad optándose por la sanción de mayor cuantía según el caso:

  • Multas hasta 10 millones de euros o hasta el 2% de volumen de negocio anual global.
  • Multas hasta 20 millones de euros o hasta el 4% de volumen de negocio anual global.
AVISO LEGAL

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo.