El pasado 25 de mayo de 2016 entró en vigor el nuevo reglamento europeo, éste será de aplicación obligatoria a partir de 25 de Mayo de 2018. El RGPD (Reglamento General de Protección de Datos) presenta algunas modificaciones respecto a la LOPD (Ley Orgánica de Protección de Datos) actual como notificación de brechas de seguridad, incremento de datos sensibles e incremento de sanciones entre otros.
Algunas de las nuevas obligaciones para empresas, administraciones y otras entidades del RGPD:
– Aparece la figura del Delegado de Protección de Datos DPO, por sus siglas en inglés (Data Protection Officer), interno o externo, Figura que se encargará de dar información, asesorar y supervisar al Responsable y Encargados de Tratamiento. Solo será obligatorio en algunos casos.
– Ventanilla única: Aquellas personas cuyos derechos se vean vulnerados, podrán reclamar ante la autoridad nacional de protección de datos de su lugar de trabajo o al lugar donde se haya cometido la vulneración. En empresas multinacionales.
– En ciertos casos, se deberán realizar evaluaciones de impacto sobre la privacidad, para identificar los riesgos de tratar ciertos datos de carácter personal y elaborar medidas para eliminar estos riesgos.
– Las autoridades de control deberán ser comunicadas de las brechas de seguridad. En los casos graves se tendrán que comunicar a los afectados.
– Se amplían los datos sensibles incluyendo datos genéticos y biométricos. También se incluyen en esta categoría las infracciones y condenas penales, aunque no las administrativas.
– Con el nuevo reglamento los responsables tendrán que llevar un registro de actividades de tratamiento internamente.
– Incremento de las sanciones. Hasta ahora la máxima sanción que se podía exigir a las empresas por incumplimiento de la L.O.P.D. era de 600.000€. A partir de 2018, el máximo será 20.000.000€ o un 4% de la facturación global anual (no se excluye de las multas a las Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así).Y siempre se optará por la mayor cantidad.
– “Derecho de Supresión” o “Derecho al Olvido”: con el nuevo RGPD aparece un nuevo derecho de los interesados. Puede ejercitarse cuando los datos no sean necesarios para las finalidades para las que fueron recogidos, cuando los datos personales hayan sido tratados ilícitamente o cuando los datos personales deban suprimirse para cumplir con una obligación legal establecida en la legislación aplicable al responsable del tratamiento.
– “Derecho a la portabilidad de datos”: este concepto permite a los individuos que han cedido sus datos a un responsable del tratamiento (empresa, organización) recibir estos mismos datos en un formato estructurado y que sea legible de modo que pueda transmitirlos fácilmente a otra empresa u organización.
Estas obligaciones han sido añadidas para reforzar la seguridad jurídica y aumentar la garantía de los derechos de los ciudadanos, que deben poder disponer de un control más efectivo de sus propios datos personales.