El nuevo RGPD: 10 claves

El nuevo RGPD: 10 claves

El Reglamento General de Protección de Datos (RGPD) que entró en vigor en 2016 y que comenzó a aplicarse a partir de mayo de 2018, supuso la transformación legislativa más importante de las últimas décadas en cuanto a privacidad. Si anteriormente el foco estaba puesto en las infraestructuras, ahora la normativa europea presta especial atención a las personas, asentándose en tres principios fundamentales:

  • Responsabilidad: las organizaciones deben ser capaces de demostrar que han adoptado todas las medidas necesarias para tratar los datos personales como exige la norma.
  • Protección de datos por defecto y desde el diseño: las medidas se adoptarán desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos.
  • Transparencia: los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos.

A continuación destacamos los 10 puntos fundamentales del RGPD:

1. FINALIDAD

El Reglamento establece la necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que lleva a cabo la empresa. Además, se exige que si el responsable de la gestión planea en un futuro usar dicha información para otro fin, deberá informar a los usuarios.

La identificación de finalidades y base jurídica tiene exigencias adicionales en los casos en que se traten datos de especial protección como los relacionados con salud, ideología, religión o pertenencia étnica. El tratamiento de estos datos está, con carácter general, prohibido y sólo podrá llevarse a cabo si es aplicable alguna de las excepciones previstas en elReglamento.

2. CONSENTIMIENTO

El nuevo texto obliga a modificar las políticas de privacidad en lo referente a la recogida de datos personales. El consentimiento deberá ser libre, específico, informado e inequívoco mediante declaración o clara acción informativa. Los consentimientos conocidos como “tácitos”, basados en la inacción de los interesados, dejarán de ser válidos con la aplicación del RGPD.

3. INFORMACIÓN

El Reglamento obliga a ofrecer información más amplia que la actualmente recogida por laLey Orgánica de Protección de Datos (LOPD). Precisa del mismo modo, que esta información se proporcione de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

4. REGISTRO DE ACTIVIDADES

Deberá establecerse y documentarse un procedimiento por el cual los responsables del tratamiento llevarán un registro de las actividades efectuadas en la materia. Dicho registro contendrá información relativa al tipo de datos personales que se recogen, los destinatarios, los plazos previstos para la supresión, la finalidad del tratamiento y las medidas técnicas y de seguridad adoptadas por la organización, entre otros aspectos.

5. BRECHAS DE SEGURIDAD

Toda violación de seguridad que se produzca y esté relacionada con datos personales deberá ser notificada a la autoridad de control sin dilación indebida y en casos graves a los afectados estableciéndose el plazo máximo de 72 horas. El RGPD establece, a su vez, la obligación de mantener un registro de todos los incidentes de seguridad, sean o no objeto de notificación.

6. EVALUACIONES DE IMPACTO

La norma exige implementar una metodología que permita evaluar los riesgos en el tratamiento de datos personales y adoptar las acciones pertinentes para mitigar o eliminar dichos riesgos.

7. DELEGADO DE PROTECCIÓN DE DATOS

Será necesario designar a un delegado de protección de datos(Data Protection Officer, DPO)externo o interno en función del volumen de datos gestionados o por las categorías especiales de éstos. Esta figura se encargará de supervisar y asesorar al encargado del tratamiento, así como de ejercer de nexo con la autoridad de control. El texto especifica también, los criterios para su designación, su posición dentro de la organización y sus funciones.

8. CERTIFICACIONES

Se prevé la creación de sellos y certificaciones de cumplimiento que permitan acreditar el respeto al RGPD por parte de las empresas y organizaciones.

9. TRANSFERENCIA INTERNACIONAL

El nuevo Reglamento mantiene el modelo de transferencias internacionales ya existente, pero amplía el catálogo de instrumentos para ofrecer garantías suficientes.

10. RÉGIMEN SANCIONADOR

El régimen sancionador del RGPD prevé el incremento del importe de las cuantías, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual de la empresa.

Habla con nosotros

958 558 442

Oficinas

Tuset, 19 - 2º, 3ª
08006 Barcelona
931 594 620

Javier Ferrero 10,
28002 Madrid

Paseo de Ruzafa 11, 6º, 12ª
46002 Valencia
960 500 761

Av. de la República Argentina, 25
41011 Sevilla

    Responsable: Metricson S.L.P.U.
    · Finalidad: Resolver tu petición o duda.
    · Legitimación:  Interés legítimo en responder cualquier cuestión planteada por ti.
    · Destinatarios: Prestadores de servicios tecnológicos, como encargados del tratamiento, que seguirán siempre nuestras instrucciones.
    · Derechos: Puedes acceder, rectificar, suprimir o solicitar la portabilidad de tus datos personales, así como oponerte o limitar el tratamiento de los mismos dirigiéndote a privacy@metricson.com.