Contacto
91 089 07 20 - 91 896 07 03 - 645 785 425
lopd@adaptacionlopdonline.com
Consultores
Vaya al Contenido

Reglamento General de Protección de Datos

NORMATIVA

Reglamento general de protección de datos RGPD-GDPR

Información sobre el Reglamento General de Protección de Datos, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (General Data Protection Regulation, GDPR), relativo a la protección  de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Reglamento general de protección de datos
FAQs SOBRE LA APLICACIÓN DEL RGPD
Debido a la multitud de preguntas que los usuarios que visitan nuestra web nos han venido haciendo en estos últimos días, hemos considerado necesario incluir aquí un resumen de las que más se han repetido. Es lógico que, ante un cambio tan importante en la normativa de protección de datos se esté facilitando información sobre el RGPD desde multitud de entidades y en distintas formas pero, en muchos casos, la información que se está transmitiendo no es del todo correcta.

P.-"¿Ustedes adaptan mi empresa a la nueva LOPD?"

R.- La respuesta es NO, no existe una "nueva LOPD", es decir, una nueva Ley Orgánica de Protección de Datos que es lo que significan esas siglas. Usted se refiere a la nueva normativa de protección de datos, el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), RGPD o por sus siglas en inglés, GDPR.

Es cierto que se está tramitando una "nueva LOPD", que tiene por objeto adaptar el ordenamiento jurídico español al RGPD, pero está pendiente de aprobación en el Congreso. El texto de la futura Ley, que fue aprobado por el Gobierno a finales del año pasado, puede consultarse aquí.

Utilizar términos como "nueva LOPD", "LOPD 2018", "LOPD Europea", etc., en lugar de RGPD o GDPR, lo único que se consigue es que los usuarios estén desinformados y contraten servicios con empresas que no están adaptando a la normativa RGPD.

P.- "¿Cómo es posible que una Ley entre en vigor en una fecha y no nos den ningún plazo para adaptarnos?"

R.- El RGPD entró en vigor el día 25 de mayo de 2016, Reglamento (UE) 2016/679, hace 2 años, por lo tanto no es cierto que haya entrado en vigor el 25 de mayo de 2018. Sin embargo, tanto a través de los medios de comunicación como de muchos mensajes enviados por todo tipo de compañías informándonos de sus nuevas "políticas de privacidad", o para que diéramos nuestro consentimiento para que pudieran seguir utilizando nuestros datos, se ha dicho hasta la saciedad que "entraba en vigor el 25/05/2018".

Todos hemos dispuesto del mismo plazo para adaptarnos: dos años. Durante este tiempo, empresas, organismos públicos y todo tipo de instituciones, hemos venido realizando un gran esfuerzo para llegar a la fecha indicada y estar listos para aplicarlo.

P.- "Tengo ofertas de otras empresas para adaptarme a la nueva ley de protección de datos y ustedes no me dan de alta en la Agencia de Protección de Datos, ni me dan mi Documento de seguridad"

R.- Suponemos que se refiere a que no inscribimos ningún fichero en la AEPD. Esta es una de las obligaciones que ha desaparecido por la aplicación del RGPD pero, si aún piensa que es debido a que no le estamos asesorando correctamente, le invitamos a que visite este enlace en la página de la AEPD y lo vea por usted mismo. La nota de la AEPD es la siguiente:

"Inscripción de ficheros. Aviso a responsables
Con motivo de la próxima aplicación del Reglamento General de Protección de Datos, que suprime la obligación de notificar ficheros a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos, el día 14 de mayo de 2018 dejan de estar operativos los sistemas de notificación de ficheros tanto a través del formulario NOTA como a través del envío de notificaciones en formato XML.
La obligación de notificar ficheros se sustituye a partir del 25 de mayo de 2018 por elaborar un registro de actividades de tratamiento que deberá contener la información señalada en el artículo 30 del citado Reglamento."

En cuanto al Documento de Seguridad, era una obligación que establecía la LOPD 15/1999 que acaba de quedar derogada.

P.- "¿Es cierto que me pueden sancionar con 10.000.000€ si no cumplo el Reglamento?"

R.- Las sanciones por incumplimiento del RGPD son, efectivamente, muy elevadas pero a nadie se le escapa las sanciones que se han venido aplicando en estos años, por incumplimiento de la normativa vigente hasta el 25 de mayo, la LOPD 15/1999 y su Reglamento de Desarrollo, RDLOPD 1720/2007 dado que son públicas y, en algunos casos, notorias.

Se han establecido en un máximo de 10.000.000€ o el 2% del total de la facturación mundial anual del ejercicio financiero del año anterior, la cifra que sea mayor de las dos.

Las infracciones y sanciones en el RGPD están determinadas en sus art. 83 y 84. El RGPD prevé que se deberán graduar las sanciones en base a ciertos criterios (naturaleza, gravedad y duración de la infracción; número de interesados afectados; nivel de perjuicios sufridos por los interesados...) pero no en base a considerar una falta leve, grave o menos grave como ocurría con la LOPD.





Publicamos artículos en nuestro blog para dar a conocer el Reglamento General de Protección de Datos, a qué nos obliga la nueva normativa, qué cambios debemos aplicar en nuestras organizaciones y, sobre todo, como lo hacemos para cumplirla a partir del 25 de mayo de 2018.

Si quieres mantenerte informado, descargáte nuestra App que te avisará cuando subamos nuevos contenidos a la web.



CAMBIOS NORMATIVOS

La normativa en materia de protección de datos ha cambiando y este cambio no sólo supone nuevas obligaciones o distinta forma de tratar los datos personales, sino que también va a suponer un cambio de mentalidad y que pasemos de pensar:

"Me adapto para evitar sanciones y cumplir la ley"

a

"Me adapto porque me preocupa y estoy comprometido con la privacidad. Además, cumplo la ley y evito sanciones"


CULTURA DE PRIVACIDAD

El Reglamento General de Protección de Datos va a impulsar una sólida cultura de privacidad. Tendremos un mayor control sobre nuestros datos personales y se exigirán mayores responsabilidades a quien los trata.

Piensa que, igual que exiges que cuando una empresa trata tus datos se respeten tus derechos, cuando eres tú quien los trata, debes protegerlos y respetar los derechos de las personas que te los facilitan.
Novedades del RGPD con respecto a la LOPD
Para que el tratamiento de los datos sea lícito deberemos:

  • Obtener el consentimiento explícito del interesado, ya no será válido el consentimiento tácito.
  • Será válido un consentimiento obtenido antes de la aplicación del RGPD si se obtuvo conforme a los requisitos que éste establece.
  • Debe existir un interés legítimo por parte del responsable para realizar el tratamiento.
  • Facilitar información clara y concisa del tratamiento, basada en la transparencia.
  • Facilitar información sobre el plazo de conservación de los datos y, en el caso de que existan, las transferencias internacionales de datos.
El interesado tendrá nuevos derechos:

  • Que le sea facilitada toda la información sobre el tratamiento de forma concisa, transparente, inteligible y de fácil acceso.
  • La supresión de los datos personales que le conciernen (derecho al olvido) cuando ya no sean necesarios para el fin para el que se recogieron, cuando revoque su consentimiento, cuando se oponga a su tratamiento, cuando se hayan tratado de forma ilícita.
  • Derecho a la limitación del tratamiento de sus datos.
  • Portabilidad de los datos.
  • Información sobre si existen transferencias internacionales de datos.
Aunque algunas de las obligaciones que se establecen en el RGPD para los encargos del tratamiento ya deberían estarse aplicando con la actual normativa (lo indicamos entre paréntesis), con la aplicación definitiva del RGPD deberán ser cumplidas de forma ineludible:

  • Cuando un Responsable deba elegir a un Encargado del tratamiento (ET) que trate sus datos, sólo elegirá al que le ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas al tratamiento de datos que realizará (art. 20.2 RDLOPD 1720/2007)
  • Un ET no puede subcontratar con otro encargado sin la autorización del Responsable (art. 21.1 RDLOPD 1720/2007).
  • Un ET debe certificar que ofrece suficientes garantías para cumplir el RGPD permitiendo, incluso, la realización de auditorías o inspecciones, tanto del responsable como de auditores externos.
  • Un Responsable tiene prohibido encargar un tratamiento sin un contrato o acto jurídico de protección de datos.

Un Responsable debe tener la capacidad de demostrar el cumplimiento (accountability) de todos los principios del tratamiento establecidos por el RGPD, por medio de un conjunto de procesos técnicos y de archivo de documentación que se lo permitan.

Los principios a cumplir son:  
• Licitud,
• Limitación de los fines,
• Minimización de los datos,
• Exactitud,
• Limitación del plazo de conservación,
• Integridad y confidencialidad.

Tanto los Responsables como los Encargados deberán implementar medidas técnicas y organizativas apropiadas que puedan garantizar un nivel de seguridad adecuado a los riesgos de los tratamientos que realicen.

Entre estas medidas están:
  • El análisis de los riesgos del tratamiento.
  • La protección de los datos desde el diseño (by design) y por defecto (by default) en cualquier fase del tratamiento.
  • Poder garantizar un nivel adecuado de seguridad según las necesidades, tamaño, circunstancias, contexto y finalidades del tratamiento.
  • Llevar un registro de las actividades de tratamiento.
El responsable deberá realizar una evaluación de impacto de las operaciones de tratamiento que tenga previsto realizar cuando sea probable que exista un alto riesgo para los derechos y libertades de los interesados:

  • Si utiliza nuevas tecnologías con un alto riesgo para el tratamiento.
  • Si el tratamiento se basa en una elaboración de perfiles con efectos jurídicos.
  • Si se realizan tratamientos a gran escala de categorías especiales de datos o bien, la observación sistemática de una zona de acceso público.
  • Si se tratan datos relativos a condenas y delitos penales.
Es toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Si se produce una violación de datos el Responsable del tratamiento deberá:
  • Notificarlas a la AEPD en un máximo de 72 h. después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
  • Documentarla convenientemente.
  • Cuando sea probable que la VS de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
El Delegado de Protección de Datos (DPD o DPO), es la persona que se encargará de informar y asesorar tanto al Responsable del tratamiento, como al encargado o al personal autorizado de ambos, de las obligaciones relacionadas con la protección de datos personales. Será designado en función a sus cualidades profesionales, conocimientos especializados en protección de datos y su capacidad para ejecutar los cometidos que le atribuye el RGPD.

El responsable y el encargado del tratamiento deberán designar un delegado de protección de datos siempre que el tratamiento lo realice un Organismo público o la actividad principal del responsable contemple tratamientos a gran escala de categorías especiales de datos, datos de condenas a infracciones penales o la observación habitual y sistemática de interesados.
Las infracciones de las disposiciones del RGPD se sancionarán con multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía para infracciones relacionadas con el incumplimiento del RGPD.

Estas sanciones pueden llegar a ser de 20.000.000 € o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía en los casos en que se incumplan las resoluciones de la AC.
Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.

Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

La certificación será voluntaria y estará disponible a través de un proceso transparente.
 
HAZ TU CONSULTA
Si quieres, podemos agendar una consulta para resolver tus dudas. Ponemos a tu disposición nuestra experiencia para que comprendas qué es el RGPD y cómo debes afrontar el cambio.
RECIBE TU OFERTA
Te proporcionaremos un informe de carencias en cuanto al cumplimiento de estas normativas, junto a una oferta de servicios totalmente personalizada y adaptada a tus necesidades. Sin compromiso.
AMYPC
¿Necesitas ayuda?

91 896 07 03
645 785 425

Pedro L. Cuevas Pérez pertenece a la APEP
Regreso al contenido