Novedades del RGPD

El pasado 25 de mayo del 2016 entró en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales (el “RGPD”), el cual será plenamente aplicable a partir del 25 de mayo de 2018. A continuación, desde el Departamento TMT de JAUSAS, destacamos las principales novedades de esta nueva regulación:

1. Consentimiento expreso.

El consentimiento tácito basado en la inacción del destinatario ya no es válido, siendo necesario que el consentimiento sea inequívoco y explícito. En consecuencia, todos los tratamientos de datos iniciados con anterioridad a la fecha de aplicación del RGPD sobre la base de un consentimiento tácito, deberán ser revisados y adecuados a la nueva normativa.

2. Nuevos derechos para los usuarios.

Además de los derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO), contemplados en la actual Ley Orgánica 15/1999 de protección de datos de carácter personal (“LOPD”), se introducen los derechos de Limitación, Portabilidad y Supresión (Olvido).

3. Registro de tratamiento.

Este registro persigue que las empresas obligadas realicen un tracking de los diferentes datos que tratan, identificando las finalidades de uso de dichos datos, base jurídica del tratamiento, cesiones a terceros, medidas de seguridad que se aplican, tecnologías utilizadas durante su tratamiento, entre otros aspectos.

4. La figura del DPO.

El Data Protection Officer, es la figura encargada de velar por el cumplimiento de la normativa de protección de datos en una organización. Puede ser interno, o contratarse de forma externa. Entonces, ¿todas las organizaciones deberán contar con un DPO? No, en principio deberán designar un DPO únicamente organismos públicos, o aquellas entidades que, entre sus actividades principales, esté la observación habitual y sistemática de interesados a gran escala, o traten, también a gran escala, categorías especiales de datos (sensibles) o datos relativos a condenas o infracciones penales.

5. Análisis de riesgos.

A diferencia de la actual LOPD y su normativa de desarrollo, que estipulan, de forma predeterminada, las medidas de seguridad a aplicar en función de la tipología de datos tratados, el RGPD obliga a realizar un análisis y mapa de riesgos con el fin de aplicar las medidas que se consideren más apropiadas para situar dichos riesgos en un nivel aceptable o tolerable.

En determinados casos, dicho análisis se llevará a cabo en el marco de una Evaluación de Impacto sobre la Protección de Datos.

6. Aumento de las sanciones.

El RGPD endurece de forma notable el régimen de sanciones, que pueden conllevar multas de hasta 20 millones de euros o del 4% del volumen de negocio anual del Grupo, en los peores escenarios.

En conclusión, las empresas se verán obligadas a adaptar sus procesos y políticas o protocolos internos a la nueva realidad impuesta por el RGPD, que persigue que estas otorguen a los datos personales que procesan un nivel de protección muy superior al actual.

Desde el departamento TMT de JAUSAS, entendemos que ya no hay excusa posible para demorar la adaptación al RGPD y no hacerlo implica asumir un riesgo relevante.