Tras dos años de adaptación al Reglamento General de Protección de Datos (RGPD) que sustituirá a la actual normativa vigente en dicha materia, el viernes 25 de mayo de 2018 finaliza el periodo de transición concedido desde su entrada en vigor en 2016 con el objetivo de permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos personales fueran preparándose y adaptándose a la exigente labor de actualización, que requieren cambios internos tanto organizativos como operativos y de procedimiento.
En consecuencia, a partir de este viernes será de obligado cumplimiento y directamente aplicable el RGPD, por lo que hemos destacado para nuestros clientes las principales novedades que implica el mismo y que no pueden perderse de vista:
- El Reglamento parte del principio privacy by design, que supone que las medidas de protección de datos se aplican desde el momento de diseñar el tratamiento para garantizar el cumplimiento de la norma.
- Se refuerza el consentimiento que deben prestar los interesados al tratamiento de sus datos personales, el cual debe ser expreso mediante una declaración o una clara acción afirmativa.
- Se amplían los conocidos derechos ARCO (acceso, rectificación, cancelación y oposición) incorporando el derecho al olvido, y el derecho a la portabilidad de los datos.
- Se refuerza el deber de información que debe facilitarse al interesado en el momento de la recogida de sus datos.
- La obligación de notificar a la autoridad de control cualquier violación de la seguridad de los datos personales, así como a los interesados afectados, en un plazo máximo de 72 horas.
- Obligaciones internas de la empresa:
- Obligación de un Registro de actividades de tratamiento: para empresas y organizaciones que empleen a más de 250 personas que traten datos de manera frecuente que puedan entrañar riesgo para los derechos y libertades, o incluyan datos especialmente protegidos.
- Evaluación de impacto: cuando el tratamiento de los datos entrañe un alto riesgo para los derechos y libertades de las personas físicas.
- Delegado de Protección de Datos (DPO): las empresas responsables o encargadas de tratamiento cuyas actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o consistan en el tratamiento a gran escala de categorías especiales de datos personales y/o de datos relativos a condenas e infracciones penales deberán nombrar un DPO.
- Se incrementa la cuantía máxima de las sanciones en caso de infracción.
En consecuencia, lo que se espera es una responsabilidad proactiva con carácter previo al tratamiento de datos personales para evitar riesgos y en aras a la protección de la privacidad de los ciudadanos, y lo que es más importante, se deberá poder acreditar todas las medidas adoptadas ante la autoridad competente en caso de inspección.
CARRAU CORPORACIÓN