El pasado 25 de mayo el Reglamento General de Protección de Datos (RGPD) cumplió tres años.
En realidad cinco años ya desde que entró en vigor esta normativa europea. Fue en el año 2016 pero, como la mayoría de las normativas, tuvo dos años de periodo transitorio hasta su plena aplicación.
El propósito del RGPD es unificar la legislación de todos los estados miembros de la UE en materia de protección de datos y privacidad de las personas físicas en lo que respecta al tratamiento de sus datos personales y a su libre circulación. Dicho de otra forma, esta normativa es la que rige la forma en que las organizaciones públicas y privadas de la UE pueden utilizar, procesar y almacenar los datos personales.
¿En qué nos afectó la entrada en vigor del RGPD?
Implicó muchos cambios para aquellas empresas que manejan bases de datos personales. Destacamos los más relevantes a continuación. ¡Toma nota!
El consentimiento y el deber de informar.
El consentimiento para tratar los datos personales debe ser inequívoco, explícito y libre. También debemos cumplir con el deber de informar, facilitando al interesado información sobre el responsable, la finalidad, destinatarios, etc. La Agencia Española de Protección de Datos diseñó un manual para orientar acerca de las mejores prácticas para dar cumplimiento a esta obligación, “La Guía para cumplir con el deber de informar”.
Las brechas de seguridad.
La entrada en vigor del RGPD, obliga a notificar a la autoridad de control cualquier brecha de seguridad, a más tardar 72h después de que haya tenido constancia del incidente. El RGPD define la brecha de Seguridad como «toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos». La AEPD, coincidiendo con el tercer aniversario del RGPD, ha publicado una nueva versión de su guía para notificar brechas de datos personales.
El Delegado de Protección de Datos (DPD).
Aparece la famosa figura del DPD: Persona física o jurídica con conocimientos avanzados en materia de protección de datos, con capacidades para ejecutar el Reglamento y suficientemente cualificado. Es obligatorio designarlo en los supuestos previstos en el artículo 37.1 del RGPD, así como en los indicados en el artículo 34 de la LOPDGDD que pueden consular aquí ¿Quién debe designar un DPD?
El principio de responsabilidad proactiva.
La implementación del principio de responsabilidad proactiva, a sido uno de los mayores retos a los que se han tenido que adaptar tanto las entidades públicas, privadas, pymes, multinacionales, autónomos, etc. ¿Qué significa esto? que deben tener una actitud consciente, diligente y proactiva ante el tratamiento de datos personales para poder demostrar que están cumpliendo la normativa.
Ah! y no debemos olvidar que el RGPD incrementó de forma significativa las sanciones. Estas pueden alcanzar, desde los 10.000.000 de euros, como por ejemplo, por no notificar una brecha de seguridad, o no hacerlo de manera adecuada; hasta a los 20.000.000 de euros, por vulnerar los derechos de los interesados o tratar sus datos sin su consentimiento.
En definitiva, es importante conocer las obligaciones de las normativas, así como sus implicaciones para implantarlas. Esto requiere dedicación y esfuerzo. En ASSplus nos sumamos al equipo de nuestros Clientes para ayudarlos en este proceso y trabajamos para acompañarles en todo el proceso de adaptación al cumplimiento normativo a través de un servicio de asesoramiento personalizado, constante. Aplicamos una metodología de seguimiento que nos permite garantizar una adaptación completa y permanente.