El Reglamento General de Protección de Datos (RGPD) que entró en vigor en 2016 y que comenzó a aplicarse a partir de mayo de 2018, supuso la transformación legislativa más importante de las últimas décadas en cuanto a privacidad. Si anteriormente el foco estaba puesto en las infraestructuras, ahora la normativa europea presta especial atención a las personas, asentándose en tres principios fundamentales:
- Responsabilidad: las organizaciones deben ser capaces de demostrar que han adoptado todas las medidas necesarias para tratar los datos personales como exige la norma.
- Protección de datos por defecto y desde el diseño: las medidas se adoptarán desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos.
- Transparencia: los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos.
A continuación destacamos los 10 puntos fundamentales del RGPD:
1. FINALIDAD
El Reglamento establece la necesidad de identificar con precisión las finalidades y la base jurídica de los tratamientos que lleva a cabo la empresa. Además, se exige que si el responsable de la gestión planea en un futuro usar dicha información para otro fin, deberá informar a los usuarios.
La identificación de finalidades y base jurídica tiene exigencias adicionales en los casos en que se traten datos de especial protección como los relacionados con salud, ideología, religión o pertenencia étnica. El tratamiento de estos datos está, con carácter general, prohibido y sólo podrá llevarse a cabo si es aplicable alguna de las excepciones previstas en elReglamento.
2. CONSENTIMIENTO
El nuevo texto obliga a modificar las políticas de privacidad en lo referente a la recogida de datos personales. El consentimiento deberá ser libre, específico, informado e inequívoco mediante declaración o clara acción informativa. Los consentimientos conocidos como “tácitos”, basados en la inacción de los interesados, dejarán de ser válidos con la aplicación del RGPD.
3. INFORMACIÓN
El Reglamento obliga a ofrecer información más amplia que la actualmente recogida por laLey Orgánica de Protección de Datos (LOPD). Precisa del mismo modo, que esta información se proporcione de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
4. REGISTRO DE ACTIVIDADES
Deberá establecerse y documentarse un procedimiento por el cual los responsables del tratamiento llevarán un registro de las actividades efectuadas en la materia. Dicho registro contendrá información relativa al tipo de datos personales que se recogen, los destinatarios, los plazos previstos para la supresión, la finalidad del tratamiento y las medidas técnicas y de seguridad adoptadas por la organización, entre otros aspectos.
5. BRECHAS DE SEGURIDAD
Toda violación de seguridad que se produzca y esté relacionada con datos personales deberá ser notificada a la autoridad de control sin dilación indebida y en casos graves a los afectados estableciéndose el plazo máximo de 72 horas. El RGPD establece, a su vez, la obligación de mantener un registro de todos los incidentes de seguridad, sean o no objeto de notificación.
6. EVALUACIONES DE IMPACTO
La norma exige implementar una metodología que permita evaluar los riesgos en el tratamiento de datos personales y adoptar las acciones pertinentes para mitigar o eliminar dichos riesgos.
7. DELEGADO DE PROTECCIÓN DE DATOS
Será necesario designar a un delegado de protección de datos(Data Protection Officer, DPO)externo o interno en función del volumen de datos gestionados o por las categorías especiales de éstos. Esta figura se encargará de supervisar y asesorar al encargado del tratamiento, así como de ejercer de nexo con la autoridad de control. El texto especifica también, los criterios para su designación, su posición dentro de la organización y sus funciones.
8. CERTIFICACIONES
Se prevé la creación de sellos y certificaciones de cumplimiento que permitan acreditar el respeto al RGPD por parte de las empresas y organizaciones.
9. TRANSFERENCIA INTERNACIONAL
El nuevo Reglamento mantiene el modelo de transferencias internacionales ya existente, pero amplía el catálogo de instrumentos para ofrecer garantías suficientes.
10. RÉGIMEN SANCIONADOR
El régimen sancionador del RGPD prevé el incremento del importe de las cuantías, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual de la empresa.