El RGPD es una normativa nueva sobre protección de datos que se aplicará de forma directa en todos los países de la Unión Europea. Es decir, esta nueva normativa es una legislación común en el área de la privacidad para todos los ciudadanos europeos.
Con este nuevo reglamento, la Ley Orgánica de Protección de Datos tal y como la conocemos hasta ahora ya no será de aplicación. El RGPD entrará en vigor el próximo 25 de mayo, por lo que será la nueva ley de referencia. Eso sí, habrá que aplicarlo junto con la nueva LOPD que está en proceso de reforma.
Aunque el RGDP está en vigor desde 2016, lo cierto es que será de aplicación obligatoria en mayo de este año. Es decir, para el 25 de mayo la política de protección de datos de todas las empresas o profesionales tendrán que estar adaptadas al nuevo marco legal.
Podemos decir que el nuevo RGPD implica muchos cambios, porque establece un modelo de protección de datos nuevo. Dicho modelo se basa en la responsabilidad proactiva y en la rendición de cuentas para que las organizaciones se impliquen más.
índice
¿Cuáles son los principales cambios que se van a aplicar?
El consentimiento, el deber de informar y los derechos del interesado son algunas de las cuestiones que se verán en el nuevo reglamento
El nuevo marco de protección de datos establece que el consentimiento tiene que ser inequívoco, y por tanto, desaparece el consentimiento tácito o por omisión. En el caso de que se traten datos sensibles, como pueden ser los datos relacionados con salud, el consentimiento tendrá que ser explícito y se tiene que demostrar que éste consentimiento ha sido dado.
Con el nuevo RGPD se reconocerán derechos nuevos
Por otro lado, el deber de informar tiene que proporcionarse de manera concisa. Es decir, tendrá que ser transparente, inteligible y de fácil acceso, con un lenguaje sencillo y claro. Y no sólo ésto, también tendrán que tenerse en cuenta las pautas establecidas por la Asociación Española de Protección de Datos para poder facilitar al afectado una primera instancia con información básica en protección de datos para, posteriormente, facilitarle una segunda con información adicional.
Con este nuevo reglamente se reconocen nuevos derechos y se modifican algunos de los derechos de acceso que ya existían. Por ejemplo, en lo referido al derecho de acceso, a partir de mayo se reconocerá el derecho a obtener una copia de los datos personales que son el objeto del tratamiento. El derecho a la limitación de tratamiento o a la portabilidad de datos serán algunos de los nuevos derechos que comentábamos al inicio del párrafo.
¿Qué ocurre con el encargado del tratamiento, el análisis de riesgos y el registro de actividades tratamiento?
El encargado del tratamiento tendrá obligaciones expresas impuestas por el nuevo RGPD y su responsable tendrá que demostrar que dicho cargado, en efecto, ofrece las garantías que exige el reglamento. También se exige un contenido mínimo en el contrato entre el responsable y el encargado del tratamiento. De esta manera, en mayo de este año, todos los responsables que cuenten con un encargado de tratamiento tendrán que tener adaptados sus contratos a la nueva normativa.
Por tanto, todos los responsables tendrán que hacer una valoración del riesgo de todos los tratamientos que realicen para poder determinar las medidas que van a aplicar y cómo lo tienen que hacer. Para esto, se emplearán algunos de los métodos que ya existen, como la Evaluación de Impacto en la Protección de Datos. Para las pequeñas empresas u organizaciones, se tendrá que hacer una reflexión mínimamente documentada.
Como sabemos, la Ley Orgánica de Protección de Datos obligaba a realizar una inscripción de ficheros en el Registro General de la AEPD. Pues bien, con el nuevo reglamento esta obligación desaparece, pero se estipula que todos los responsables tienen que tener un Registro de Actividades de Tratamiento en la que se encuentre toda la información relacionada con los diferentes tratamientos de datos que se realicen.
Las medidas de seguridad, la notificación de violaciones de seguridad y el delegado de protección de datos también son cuestiones que se implantarán en el RGPD
Los responsable y encargados deberán establecer unas medidas técnicas y organizativas necesarias para poder garantizar un nivel de seguridad adecuado en función de los riesgos que se detecten al realizar el análisis previo. En el momento en el que se produzca una violación de la seguridad de los datos, será el responsable quien debe notificar a la autoridad de protección de datos competente todo lo ocurrido, a no ser que sea improbable que dicha violación sea un riesgo para los derechos y libertades de los afectados.
El nuevo Reglamento General de Protección de datos establece una nueva figura: el Delegado de Protección de Datos. Dicho delegado será nombrado en base a sus cualificaciones profesionales y a su conocimiento sobre la legislación y la práctica de la protección de datos. Y, según la reforma de la LOPD, será de obligación para Centros Sanitarios y Colegios Profesionales.