Reglamento General de Protecci贸n de Datos

El Reglamento General de Protecci贸n de Datos o Reglamento 2016/679 es la ley de protecci贸n de datos b谩sica en Europa.

Su alcance es general, es directamente obligatoria en todo el territorio de la Uni贸n (UE) y contiene numerosas novedades respecto del r茅gimen de protecci贸n de datos anterior.

Introducci贸n al Reglamento General de Protecci贸n de Datos

En efecto, el Reglamento General de Protecci贸n de Datos, que tambi茅n recibe las denominaciones de RGPD (acr贸nimo de Reglamento General de Protecci贸n de Datos) o de Reglamento Europeo de Protecci贸n de Datos, hace referencia al Reglamento (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci贸n de estos datos y por el que se deroga la Directiva 95/46/CE.

Te cuento en 2 minutos qu茅 es el RGPD y por qu茅 es una norma tan importante

Qu茅 es el Reglamento General de Protecci贸n de Datos

Lo primero es deshacer la confusi贸n que puede ocasiona la utilizaci贸n del t茅rmino 鈥Reglamento鈥.

Reglamento, como norma europea, por tanto con alcance general y eficacia directa en el territorio de los estados miembros. No es por tanto una referencia a 鈥渞eglamento鈥 o normativa interna del derecho espa帽ol que desarrolla una Ley.

El Reglamento General de Protecci贸n de Datos no es una norma menor ni una norma que precise una habilitaci贸n legal para ser directamente aplicable en Espa帽a. La LOPDGDD de 2018 concreta y detalla determinados aspectos del Reglamento 2016/679, pero no toca en lo esencial sus principios ni disposiciones.

驴El RGPD o la GPDR?

GDPR es el acr贸nimo de General Data Protection Regulation, que no es otra cosa que el equivalente en ingl茅s de Reglamento General de Protecci贸n de Datos.

鈥淩egulation鈥 es 鈥淩eglamento鈥 (norma europea de alcance general y efecto directo) y no 鈥渞egulaci贸n鈥.

Por esta circunstancia, al utilizar el acr贸nimo de Reglamento General de Protecci贸n de datos en idioma espa帽ol se aconseja utilizar la f贸rmula 鈥渆l RGPD鈥 y no 鈥渓a GDPR鈥.

El Reglamento 206/679 y el desplazamiento de la normativa nacional de protecci贸n de datos.

Con la vigencia plena del Reglamento General de Protecci贸n de Datos que se produjo el d铆a 25 de mayo de 2018, qued贸 desplazada la aplicaci贸n de la LOPD de 1999 y del Real Decreto 1720/2007, es decir del Reglamento de desarrollo de Ley Org谩nica de Protecci贸n de Datos.

La derogaci贸n formal de la LOPD de 1999 se producir谩 con la aprobaci贸n de la Ley Org谩nica 3/2018 de 5 de diciembre, conocida como LOPDGDD, a trav茅s de su Disposici贸n Derogatoria 脷nica. No obstante, seguir谩n vigentes los art铆culos 22, 23 y 24 de la anterior Ley Org谩nica de Protecci贸n de Datos.

No hay un pronunciamiento expreso sobre la vigencia del Real Decreto 1720/2007, por lo que se ha de entender que sus disposiciones son aplicables en la medida que no contradigan ni se opongan a lo establecido en el Reglamento General de Protecci贸n de Datos.

La LOPDGDD dota de concreci贸n a ciertos aspectos del Reglamento General de Protecci贸n de Datos dejados por el legislador europeo a las normativas de los Estados miembros (supuestos concretos en que es necesaria en una organizaci贸n la designaci贸n de un Delegado de Protecci贸n de Datos, tipificaci贸n de infracciones, prescripci贸n de las mismas, y otros aspectos).

Reglamento General de Protecci贸n de Datos

Caracter铆sticas del Reglamento General de Protecci贸n de Datos

Entre las caracter铆sticas del Reglamento 2016/679 veremos la estructura de la norma europea de protecci贸n de datos, sus aspectos claves, con especial an谩lisis de los principios de la protecci贸n de datos, y resaltaremos o pondremos foco en las principales diferencias con el r茅gimen anterior de la Directiva 95/46 y con las leyes de protecci贸n de datos en Espa帽a (en especial, la anterior LOPD de 1999)

Estructura del RGPD

El Reglamento General de Protecci贸n de Datos se estructura en dos partes bien diferenciadas.

Por un lado, los Considerandos o Razonamientos, o Razones. En total, el RGPD cuenta con 173 Considerandos que est谩n siendo fundamentales para los operadores jur铆dicos a la hora de interpretar y aplicar preceptos de la parte dispositiva.

Por otro lado, la parte dispositiva, los preceptos del Reglamento Europeo de Protecci贸n de Datos propiamente dichos.

As铆, la parte dispositiva del Reglamento 2016/679 consta de 99 art铆culos estructurados en 11 Cap铆tulos.

鉃ap铆tulo I del RGPD: Disposiciones Generales (art铆culos 1 a 4)

鉃ap铆tulo II del RGPD: Principios (art铆culos 5 a 11)

鉃ap铆tulo III del RGPD: Derechos del interesado (art铆culos 12 a 23, estructurados en estas Secciones: Secci贸n 1 鈥淭ransparencia y modalidades鈥; Secci贸n 2 鈥淚nformaci贸n y acceso a los datos personales鈥; Secci贸n 3 鈥淩ectificaci贸n y supresi贸n鈥; Secci贸n 4 鈥淒erecho de oposici贸n y decisiones individuales automatizadas鈥; Secci贸n 5 鈥淟imitaciones鈥).

鉃ap铆tulo IV del RGPD: Responsable del tratamiento y encargado del tratamiento (art铆culos 24 a 43, estructurados en estas Secciones: Secci贸n 1 鈥淥bligaciones generales鈥; Secci贸n 2 鈥淪eguridad de los datos personales鈥; Secci贸n 3 鈥淓valuaci贸n de impacto relativa a protecci贸n de datos y consulta previa鈥; Secci贸n 4 鈥淒elegado de Protecci贸n de Datos鈥; Secci贸n 5 鈥淐贸digos de conducta y certificaci贸n鈥).

鉃ap铆tulo V del RGPD: Transferencias de datos personales a terceros pa铆ses u organizaciones internacionales (art铆culos 44 a 50).

鉃ap铆tulo VI del RGPD: Autoridades de control independientes (art铆culos 51 a 59, estructurados en estas Secciones: Secci贸n 1 鈥淚ndependencia鈥 y Secci贸n 2 鈥淐ompetencia, funciones y poderes鈥).

鉃ap铆tulo VII del RGPD: Cooperaci贸n y coherencia (art铆culos 60 a 76, estructurados en estas Secciones: Secci贸n 1 鈥淐ooperaci贸n y Coherencia鈥; Secci贸n 2 鈥淐oherencia鈥; Secci贸n 3 鈥淐omit茅 europeo de protecci贸n de datos鈥

鉃ap铆tulo VIII del RGPD: Recursos, responsabilidades y sanciones (art铆culos 77 a 84).

鉃ap铆tulo IX del RGPD: Disposiciones relativas a situaciones espec铆ficas de tratamiento (art铆culos 85 a 91)

鉃ap铆tulo X del RGPD: Actos delegados y actos de ejecuci贸n (art铆culos 92 y 93) .

鉃ap铆tulo XI del RGPD: Disposiciones finales (art铆culos 94 a 99).

Aspectos claves del RGPD

 

驴Cu谩l es la misi贸n del Reglamento 206/679?

El Reglamento General de Protecci贸n de Datos tiene como misi贸n fundamental la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de sus datos personales.

El tratamiento de los datos personales debe respetar la total esfera de libertades y de derechos fundamentales de las personas.

Ya no hay vinculaci贸n del RGPD a unos derechos concretos como puedan ser el derecho al honor, el derecho a la intimidad, o el derecho a la dignidad, a m谩s de otros.

El Reglamento 2016/679聽 busca un protecci贸n transversal y universal y, seg煤n el Considerando primero del propio RGPD

«…pretende contribuir a la plena realizaci贸n de un espacio de libertad, seguridad y justicia y de una uni贸n econ贸mica, al progreso econ贸mico y social, al refuerzo y la convergencia de las econom铆as dentro del mercado interior, as铆 como al bienestar de las personas f铆sicas.»

En definitiva, y como proclama el Considerando 4, 鈥el tratamiento de los datos personales debe estar concebido para servir a la humanidad鈥.

Por eso, el Reglamento General de Protecci贸n de Datos no configura el derecho a la protecci贸n de datos como un derecho absoluto, sino que debe mantener el equilibrio con otros derechos, con arreglo al principio de proporcionalidad.

La r谩pida evoluci贸n tecnol贸gica y la globalizaci贸n son los principales motores del cambio de modelo de protecci贸n de datos.

Por un lado, la tecnolog铆a permite que se traten datos personales tanto por empresas privadas como por administraciones p煤blicas en una escala sin precedentes.

Por otro lado, las personas f铆sicas con el uso de funcionalidad de comunicaci贸n totalmente arraigadas, como internet y las redes sociales, participan en flujos internacionales de datos pr谩cticamente infinitos.

El legislador europeo es consciente, y as铆 lo expresa en el texto del Reglamento General de Protecci贸n de Datos, de que los principios de la Directiva 95/46/CE siguen siendo plenamente v谩lidos.

Pero esa validez no ha impedido que la sociedad europea se siga notando desprotegida en cuanto al tratamiento de datos por la creciente actividad en l铆nea.

El Reglamento General de Protecci贸n de Datos aspira a presentarse como la soluci贸n homog茅nea y coherente en toda Europa, a trav茅s de una norma de alcance general y eficacia directa, para combatir esa inquietud de los europeos.

Pretensi贸n de aplicaci贸n 鈥渦niversal鈥 del RGPD

En cuanto al 谩mbito territorial, el Reglamento General de Protecci贸n de Datos se aplica al tratamiento de datos personales

…en el contexto de las actividades de un establecimiento del responsable o del encargado en la Uni贸n, independientemente de que el tratamiento tenga lugar en la Uni贸n o no.

Con esa pretensi贸n de aplicaci贸n universal del RGPD, la norma ser谩 de obligado cumplimiento para empresas o entidades no establecidas en el territorio de la Uni贸n Europea cuando las actividades de tratamiento est茅n relacionados con: a) la oferta de bienes y servicios cuando vaya dirigida a ciudadanos de la Uni贸n, o b) el control de su comportamiento, en la medida en que dicho control tenga lugar en la Uni贸n Europea.

El RGPD es aplicable respecto de los tratamientos de datos personales de personas f铆sicas que residan en el territorio de la Uni贸n Europea, con independencia de su nacionalidad u otra condici贸n.

Los principios del Reglamento General de Protecci贸n de Datos

Los principios clave del RGPD se expresan en el Considerando 39 y en su art铆culo 5.

No son principios disruptores respecto de los que ya se recog铆an en la Directiva 95/46/CE, salvo el fundamental principio de responsabilidad proactiva (accountability) que viene a expresar que ya no es suficiente con no incumplir.

La normativa de protecci贸n de datos personales debe cumplirse activamente y adem谩s se debe estar en condiciones de demostrar dicho cumplimiento.

Este s铆 que constituye uno de los aspectos novedosos del RGPD en una comparativa con la anterior legislaci贸n de protecci贸n de datos.

El resto de principios gu铆a del Reglamento son los siguientes:

馃攷 Licitud: Los datos se tratar谩n con el consentimiento del interesado o sobre alguna otra base leg铆tima expresamente prevista en el art铆culo 6.1. del RGPD.

馃攷 Lealtad: Para las personas f铆sicas debe quedar totalmente claro que se est谩n tratando datos que les conciernen.

馃攷 Transparencia: Exige que las circunstancias del tratamiento se comuniquen a los interesados de forma accesible y f谩cil de entender.

馃攷 Limitaci贸n de los fines: Los datos se tratar谩n para fines determinados y expresamente declarados.

馃攷 Minimizaci贸n de datos: Solo se deben obtener o recabar los datos necesarios para alcanzar los fines. Tambi茅n expresa restricciones respecto al per铆metro de los tratamientos.

馃攷 Exactitud: Los datos deber谩n permanecer actualizados.

馃攷 Limitaci贸n del plazo de conservaci贸n: Los datos ser谩n guardados o almacenados durante no m谩s tiempo del necesario para conseguir los fines o hasta la prescripci贸n legal de responsabilidades.

馃攷 Confidencialidad, Integridad, Disponibilidad (y Resiliencia): Presiden la aplicaci贸n de medidas de seguridad para la protecci贸n de datos en todas las fases del tratamiento.

驴En qu茅 se concretan cada uno de estos principios?

馃攼 Confidencialidad, en el sentido de que los datos personales no deben ser accesibles a personas no autorizada a su tratamiento.

馃攼 Integridad, porque los datos personales deben quedar indemnes del riesgo de alteraci贸n ya sea accidental o il铆cita.

馃攼 Disponibilidad, en el sentido de que los datos deben poder recuperarse de forma r谩pida en caso de incidente f铆sico, t茅cnico o de otra naturaleza.

Protecci贸n de Datos desde el dise帽o y por defecto en el Reglamento General

El enfoque principal del Reglamento General de Protecci贸n de Datos est谩 en el riesgo para los datos personales propiciado por el tratamiento (intervinientes, herramientas y medios, cesiones, etc) de los mismos.

Por ese motivo se impone al responsable del tratamiento la obligaci贸n de aplicar, tanto en el momento de determinar los medios del tratamiento como en el momento de iniciar dicho tratamiento, una serie de medidas de seguridad para los datos, que sean adecuadas en virtud de una serie de criterios (expresados en el art铆culo 25 del Reglamento 2016/679).

La seguridad de los tratamientos de datos personales debe realizarse en todo momento de forma que se salvaguarden los principios que hemos resaltado anteriormente: confidencialidad, integridad y disponibilidad.

Corresponsabilidad en el tratamiento de datos y tratamientos por encargo

El Reglamento General de Protecci贸n de Datos establece que en las situaciones en que varios responsables del tratamiento determinen conjuntamente los medios y fines de ese tratamiento deber谩n atribuirse claramente las responsabilidades de cada uno de ellos.

Eso, en la pr谩ctica har谩 que hablemos de la necesidad de celebrar los oportunos contratos de corresponsabilidad en materia de protecci贸n de datos personales.

Por otra parte, el art铆culo 28 no introduce como novedad la figura del encargo del tratamiento, pero s铆 la reacondiciona bastante para sujetarla a los principios del RGPD y, en especial, al principio de responsabilidad proactiva y accountability.

De esta manera, el RGPD impone al responsable del tratamiento la obligaci贸n de elegir encargados de tratamiento que ofrezcan garant铆as suficientes para aplicar medidas t茅cnicas y organizativas apropiadas.

El encargado debe estar en condiciones, o ser谩 un prestador 鈥渋nelegible鈥 desde el punto de vista del Reglamento General de Protecci贸n de Datos, de asegurar que los tratamientos que se le encarguen cumplan el canon de seguridad del art铆culo 25.

Igualmente, las relaciones entre responsable y encargado del tratamiento se documentar谩n en un contrato o acto jur铆dico que deber谩 tener una serie de estipulaciones acerca de los aspectos citados por el RGPD en su art铆culo 28.3.

Registro de Actividades de Tratamiento

Se introduce esta pieza documental b谩sica en el esquema de accountability del RGPD.

Ya no es necesaria la inscripci贸n de ficheros en el Registro General de Protecci贸n de Datos de la AEPD pero se sigue considerando una buena medida de proactividad la gesti贸n de un inventario o registro de los procesamientos de datos llevados a cabo por la empresa u organizaci贸n.

Como tal Registro, el RGPD impone al responsable del tratamiento (y, en su caso, al encargado del tratamiento) la obligaci贸n de efectuar su llevanza, es decir, un mantenimiento continuo y diligente, procurando su puesta al d铆a de forma proactiva y sin interrupci贸n.

Servicio de Evaluaci贸n de Impacto protecci贸n de datos

 

El an谩lisis de riesgos RGPD y la EIPD

Siendo el enfoque del Reglamento 2016/679 el riesgo, los instrumentos dedicados a analizar el riesgo inherente a los tratamientos de datos personales para sus titulares (no tanto para las organizaciones), ocupan un lugar fundamental en el esquema de adaptaci贸n de las organizaciones al Reglamento General de Protecci贸n de Datos.

El An谩lisis b谩sico de riesgos no aparece mencionado literalmente en el Reglamento 2016/679.

Sin embargo, de una lectura conjunta de los art铆culos 25 y 32 del RGPD, deriva la obligaci贸n pr谩ctica de las organizaciones de evaluar la adecuaci贸n del nivel de seguridad de la organizaci贸n respecto del tratamiento de datos personales que llevan a cabo.

El An谩lisis b谩sico de riesgos se configura como es instrumento de auditor铆a de protecci贸n de datos para evaluar con car谩cter de m铆nimos esa adecuaci贸n en tratamientos de escaso riesgo.

En circunstancias donde exista probabilidad de que los tratamientos entra帽asen un alto riesgo para los derechos y las libertades de las personas f铆sicas, el instrumento a llevar a cabo por el responsable es la Evaluaci贸n de Impacto en Protecci贸n de Datos.

Estos ser铆an los Requisitos de una Evaluaci贸n de Impacto en Protecci贸n de Datos

El Delegado de Protecci贸n de Datos

El Reglamento General de Protecci贸n de Datos configura novedosamente el perfil del Delegado de Protecci贸n de Datos y le atribuye una importancia capital en la proactividad de la empresa a la hora de adaptarse a la ley de protecci贸n de datos.

La denominaci贸n oficial es la de Delegado de Protecci贸n de Datos. Tambi茅n le conoceremos por sus acr贸nimos en espa帽ol, DPD, o en ingl茅s, DPO (Data Protection Officer).

Este «viejo conocido» (un perfil que ven铆a siendo utilizado asiduamente en algunos pa铆ses europeos) es en realidad una instituci贸n totalmente nueva tal y como regula sus funciones y su estatus el Reglamento 2016/679.

El art铆culo 37 del RGPD expresa las situaciones en que una empresa u organizaci贸n precisar谩 contar con un Delegado de Protecci贸n de Datos, que podr谩 ser un empleado o bien un profesional externo, al que, en todo caso, se designar谩 personalmente ante la Agencia Espa帽ola de Protecci贸n de Datos.

Entre las funciones clave del Delegado de Protecci贸n de Datos interesa ahora destacar esa funci贸n de enlace o intermediario entre la organizaci贸n y la autoridad de control (AEPD), que configura al Delegado de Protecci贸n de Datos como una pieza b谩sica en el esquema de accountability del RGPD.

Aqu铆 puedes encontrar todos los detalles sobre la figura del Delegado de Protecci贸n de Datos.

Cooperaci贸n entre diversas autoridades de control

驴C贸mo se rigen las relaciones entre la Agencia Espa帽ola de Protecci贸n de Datos y otras autoridades de control en materia de protecci贸n de datos?

Con el Reglamento General de Protecci贸n de Datos, por primera vez la normativa de protecci贸n de datos prev茅 un entorno de cooperaci贸n y coherencia para la actuaci贸n simult谩nea de varias autoridades de control en materia de protecci贸n de datos.

El Reglamento General de Protecci贸n de Datos crea el Comit茅 Europeo de Protecci贸n de Datos (cuyo inmediato precedente ha sido el Grupo de Trabajo del Art铆culo 29, Article 29 Working Party o WP29).

El Comit茅 Europeo de Protecci贸n de Datos (CEPD, o en ingl茅s, EDPB, European Data Protection Board) se configura as铆 como la autoridad encargada de la aplicaci贸n coherente del Reglamento General de Protecci贸n de Datos en toda Europa.

Dicha autoridad europea de protecci贸n de datos se compone de un representante de la respectiva autoridad nacional de protecci贸n de datos y del Supervisor Europeo de Protecci贸n de Datos (EDPS, o European Data Protection Supervisor).

Si en un Estado miembro hubiese m谩s de una autoridad de protecci贸n de datos, como sucede en el caso espa帽ol, se nombrar谩 a un representante com煤n ante el Comit茅 Europeo de Protecci贸n de Datos, conforme a lo dispuesto por la normativa nacional respectiva.

Notificaci贸n de violaciones de seguridad a la autoridad de control

El Reglamento General de Protecci贸n de Datos introduce la obligaci贸n por parte del responsable del tratamiento de notificar a la Agencia de Protecci贸n de Datos (autoridad de control de cada Estado miembro) aquellas violaciones de seguridad que puedan constituir un riesgo para los derechos y libertades de las personas f铆sicas, en el perentorio plazo de 72 horas.

El encargado del tratamiento deber谩 notificar al responsable del tratamiento 鈥渟in dilaci贸n indebida鈥 las brechas de seguridad en los tratamientos de datos personales que realice a cuenta de dicho responsable.

La notificaci贸n de brechas de seguridad no es un requisito totalmente novedoso en nuestro ordenamiento jur铆dico (ya exist铆a por ejemplo en el 谩mbito de las Telecomunicaciones) pero con el Reglamento General de Protecci贸n de Datos, esta obligaci贸n del responsable del tratamiento se generaliza y compete a todos los sistemas de gesti贸n de la informaci贸n (cualquier que sea el sector) donde suceda una de estas violaciones de la seguridad.

Al igual que el art铆culo 33 del RGPD prev茅 esta notificaci贸n de brechas de seguridad a la respectiva autoridad de control en materia de protecci贸n de datos en el plazo de 72 horas, el art铆culo 34 impone a los responsables del tratamiento la obligaci贸n de comunicar las brechas de seguridad que entra帽en un alto riesgo para sus derechos y libertades a los propios interesados y 鈥渟in dilaci贸n indebida鈥.

Adaptaci贸n de empresas y organizaciones al Reglamento General de Protecci贸n de Datos

El Reglamento General de Protecci贸n de Datos tiene varios focos prioritarios.

En primer lugar, est谩 muy orientado a favor de la protecci贸n de los derechos de los interesados y de favorecer la total disposici贸n por parte de estos de sus datos personales. Muy especialmente, se refuerzan con el Reglamento los deberes de transparencia e informaci贸n a los afectados.

Por otro lado, el RGPD tiene enfoque en el riesgo. Por ello impone a responsables del tratamiento de datos personales y a encargados del tratamiento una obligaci贸n proactiva de conseguir en todo momento niveles adecuados en la seguridad de los tratamientos de datos personales de forma que no se vean afectados los principios de confidencialidad, integridad y disponibilidad.

En tercer lugar, y respecto al antiguo modelo normativo de protecci贸n de datos, el Reglamento General de Protecci贸n de Datos nos dice que ya no basta con no incumplir, sino que se generaliza una obligaci贸n de cumplimiento activo y diligente del RGPD y, adem谩s, que se ha de estar en condiciones de demostrar dicho cumplimiento (principio de accountability).

Implantaci贸n RGPD para empresas

Cl谩usulas informativas adaptadas al Reglamento General de Protecci贸n de Datos

En los art铆culos 12, 13 y 14 del Reglamento General de Protecci贸n de Datos se establece la forma en que hay que informar de las condiciones del tratamiento de datos personales a los titulares de dichos datos.

El RGPD hace mucho hincapi茅 en que las cl谩usulas informativas sean sencillas, f谩cilmente accesibles y entendibles para el interesado.

Tambi茅n expresa el Reglamento 2016/679 el contenido de esa informaci贸n cuando los datos sean facilitados por el propio interesado y tambi茅n en el supuesto de que un responsable del tratamiento est茅 tratando datos personales no facilitados por el propio titular de los datos.

El contenido de ese derecho de los interesados a ser informados se ha visto notablemente modificado por el RGPD. Se incrementan los detalles de la informaci贸n a los siguientes:

鈽慙os datos de contacto del Delegado de Protecci贸n de Datos

鈽慙a base jur铆dica o legitimaci贸n para el tratamiento.

鈽慐l plazo o los criterios para la conservaci贸n de los datos personales

鈽慙a existencia de decisiones automatizadas o elaboraci贸n de perfiles

鈽慡i est谩n previstas transferencias a pa铆ses situados fuera de la Uni贸n Europea

鈽慐l derecho a presentar una reclamaci贸n ante la Agencia Espa帽ola de Protecci贸n de Datos

Para el caso de que los datos no se hayan obtenido directamente del interesado, se informar谩 a estos adem谩s de:

鈽慙a categor铆a de los datos recabados u obtenidos

鈽慐l origen de dichos datos

El deber de informar hay que cumplirlo en el momento en que se solicitan los datos, de forma previa a la recogida de la informaci贸n personal. Por tanto, no se puede informar a los afectados por el tratamiento despu茅s de haber recopilado su informaci贸n personal.

El cumplimiento de los deberes de informaci贸n relativos a la protecci贸n de datos personales debe ser cumplido por el responsable de forma que 茅ste pueda acreditar dicho cumplimiento, en virtud del principio de accountability ya mencionado.

La Agencia Espa帽ola de Protecci贸n de Datos recomienda un sistema de informaci贸n multinivel basado en capas informativas.

Una primera capa, extractada o resumida de informaci贸n b谩sica (primera capa) y una segunda capa, de informaci贸n adicional y detallada (segunda capa).

Puede obtenerse m谩s detalle de este sistema informativo multinivel en la Gu铆a para el cumplimiento del deber de informar publicada por la propia AEPD.

Las empresas y organizaciones deber谩n efectuar una revisi贸n profunda de las cl谩usulas informativas de aquellos formularios o espacios tanto f铆sicos (papel) como digitales (web y otros formatos) donde se recojan datos de los interesados.

Por otra parte, es muy conveniente que en aquellos documentos que sirvan para establecer una primera comunicaci贸n con el interesado se introduzcan cl谩usulas informativas relativas a c贸mo efect煤a la empresa el tratamiento de dichos datos (facturas, contratos, documentos comerciales, email corporativo, etc).

Una buena medida de cumplimiento proactivo del Reglamento General de Protecci贸n de Datos es el contar con una Pol铆tica interna (Pol铆tica de Informaci贸n) donde las personas autorizadas por el responsable del tratamiento (empleados y colaboradores) conozcan c贸mo se debe cumplir este deber de informar por parte de la empresas en los diferentes espacios y plataformas.

Consonancia de la actividad empresarial con los principios del RGPD

La adecuaci贸n de los tratamientos de datos personales realizados por las empresas y organizaciones a los principios del Reglamento General de Protecci贸n de Datos es de importancia capital.

La ausencia de una adaptaci贸n real y constante de la actividad empresarial a estos principios del RGPD podr铆a dar lugar a elevadas sanciones econ贸micas para el responsable del tratamiento.

No olvidemos que el incumplimiento de los principios b谩sicos del Reglamento General de Protecci贸n de Datos es constitutivo de infracciones calificadas como muy graves.

Hemos enumerado anteriormente y de forma ordenada cu谩les son esos principios clave del RGPD.

En nuestro servicio de Adaptaci贸n al RGPD nos ocupamos de que tu empresa u organizaci贸n tenga las directrices personalizadas y concretas para que se produzca esa adecuaci贸n a principios y directrices b谩sicas de la norma.

Pasos b谩sicos de adaptaci贸n al RGPD

驴Cu谩les ser铆an los documentos b谩sicos de cumplimiento del RGPD? 驴Qu茅 necesita tener tu empresa para cumplir el Reglamento General de Protecci贸n de Datos?

Hemos querido finalizar esta parte aludiendo de forma resumida a los documentos esenciales con los que debe contar una empresa u organizaci贸n que quiera adaptarse a lo dispuesto en el RGPD.

馃棐 Registro de Actividades de Tratamiento

Como hemos dicho anteriormente, el Registro de Actividades de Tratamiento constituye un ejercicio proactivo por parte del responsable de crear 鈥測 mantener鈥 un inventario de todos aquellos procesos de datos en los que est谩 implicada su total actividad como empresa, administraci贸n p煤blica u organizaci贸n de otro tipo.

Tambi茅n, en su caso, elaborar el Registro de Actividades de Tratamiento como encargado de tratamiento es una obligaci贸n de empresas y organizaciones que necesiten acceder a los datos por cuenta de un responsable al que se le presta un servicio.

馃搵 Informe de determinaci贸n de no necesidad de realizar una EIPD

En caso de alto riesgo para derechos y libertades de los interesados, se realizar谩 una Evaluaci贸n de Impacto relativa a la Protecci贸n de Datos.

馃搳 An谩lisis b谩sico de riesgos

Considerado que el tratamiento de datos realizados reviste escaso riesgo para derechos y libertades de los interesados, se realizar谩 un An谩lisis de Riesgos de m铆nimos, tratando las diversas amenazas y riesgos聽 con medidas de control adecuadas hasta que dichos riesgos se mitiguen o se reduzcan a niveles aceptables.

馃攺Establecimiento de una Pol铆tica de Seguridad

Es necesario documentar las obligaciones que asume el responsable del tratamiento y tambi茅n las personas autorizadas al tratamiento por parte del responsable (empleados) en lo relativo a medidas t茅cnicas y organizativas que sean la salvaguarda de los indispensables criterios de confidencialidad, integridad y disponibilidad de la informaci贸n personal tratada.

Es conveniente tambi茅n que dicha Pol铆tica de Seguridad interna instrumente una serie de excepciones basadas en autorizaciones puntuales al r茅gimen de prohibici贸n de actos relativos al tratamiento de informaci贸n personal por parte de los trabajadores de la organizaci贸n.

馃 Protocolo relativo al ejercicio de derechos por parte del interesado

Es conveniente que tanto el responsable del tratamiento como los empleados de la organizaci贸n conozcan tanto los derechos que pueden ejercer los interesados respecto a su informaci贸n personal, como el cauce para hacer efectivo esos derechos, y est茅 prevista en la organizaci贸n c贸mo se va a responder ante las solicitudes de los afectados.

Estas previsiones se pueden instrumentalizar en un protocolo interno de obligado conocimiento para las personas que en la organizaci贸n se encarguen de la atenci贸n a los derechos de los interesados.

Tambi茅n es muy conveniente desde el punto de vista de accountability tener a disposici贸n de los interesados modelos o plantillas para el ejercicio de sus respectivos derechos de protecci贸n de datos.

馃搮 Fijaci贸n de los plazos de conservaci贸n

Cumplida la finalidad del tratamiento, los datos no pueden conservarse «eternamente». Las diferentes normativas generales y sectoriales fijan plazos de conservaci贸n durante los cuales los datos permanecer谩n bloqueados.

El establecimiento de los plazos de conservaci贸n se realizar谩 de forma individualizada para cada una de las actividades de tratamiento.

馃敎 Protocolo de notificaci贸n de brechas de seguridad

Recordemos: 72 horas para notificar la brecha de seguridad a la autoridad de control y la comunicaci贸n de violaciones de seguridad a los interesados, «sin dilaci贸n indebida».

Sin perjuicio de que se utilice el modelo previsto en la Agencia de Protecci贸n de Datos para notificar la brecha de seguridad (en los supuestos que proceda) a la autoridad de control, es muy conveniente que el responsable del tratamiento tenga previsto un protocolo o documento informativo interno que constituy un preparatorio de la actuaci贸n de notificaci贸n de la brecha en caso de producirse y que dicha notificaci贸n no sea fruto de una improvisaci贸n de acciones, ya que, como hemos dicho anteriormente, el plazo para efectuar la notificaci贸n de brechas de seguridad a la AEPD es tan solo de 72 horas.

馃摬Adaptaci贸n al RGPD de la web corporativa

En el apartado web, los documentos clave de cumplimiento del Reglamento General de Protecci贸n de Datos son la Pol铆tica de Privacidad y, en la medida en que el RGPD entronca con la LSSI, la Pol铆tica de Cookies.

Sin perjuicio de ello habr谩n de revisarse los formularios de captaci贸n de datos y todas aquellas funcionalidades de la web que permitan el tratamiento de datos personales y de metadatos as铆 como su cesi贸n a terceros.

馃摑Regulaci贸n de intervinientes en el tratamiento

Contratos o acuerdos de corresponsabilidad de tratamiento (donde esta figura exista) as铆 como contratos a celebrar con los encargados de tratamiento, adecuados a lo dispuesto en el art铆culo 28 del RGPD.

En cumplimiento del principio de accountability tambi茅n se revisar谩 que puede demostrarse que las respectivas cesiones de datos a terceros se han realizado con la base jur铆dica del RGPD adecuada.

Tambi茅n se celebrar谩n los oportunos contratos o acuerdos de confidencialidad entre el responsable del tratamiento y las personas autorizadas por este al tratamiento de los datos (empleados, colaboradores, etc).

Si hay alg煤n aspecto clave del Reglamento General de Protecci贸n de Datos que te suscite dudas o necesitas un proceso de adaptaci贸n a la ley de protecci贸n de datos vigente, no dudes en ponerte en contacto con nosotros.

COMP脕RTELO

Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on facebook
Facebook
Share on telegram
Telegram
Share on whatsapp
WhatsApp
Share on email
Email

SERVICIOS M脕S SOLICITADOS

BUSCAR NOTICIA

Utiliza el buscador para encontrar art铆culos sobre un determinado tema

驴Por qu茅 confiar en m铆?

19 a帽os de experiencia como asesor jur铆dico de empresas y redactor de textos legales en 谩mbito de internet y de la protecci贸n de datos personales, amplia red de contactos jur铆dicos, equipo multidisciplinar y en formaci贸n continua, alto nivel de autoexigencia y esfuerzo…