Locations
A diferencia de la actual Directiva 95/46/CE de 24 de octubre de 1995, -la cual queda derogada con efecto a partir de la fecha de aplicación del nuevo texto-, el RGPD será directamente aplicable en todos los Estados miembros.
La aprobación del Anteproyecto de Ley Orgánica de Protección de Datos Personal, recientemente publicado en España, muy probablemente conllevará la derogación de la actual ley orgánica de protección de datos LOPD 15/1999.
El departamento TIC de JAUSAS, a través de sucesivas circulares, informará a los responsables del tratamiento acerca del necesario proceso de adaptación al nuevo marco normativo, que toda empresa deberá culminar, como máximo, el próximo 25 de mayo del 2018.
En esta primera circular abordamos dos aspectos que todos los responsables deberán, desde un inicio, tener muy presentes.
1. Análisis de riesgos
Sin lugar a dudas, esta es la principal medida a abordar en esta fase inicial.
El principio de responsabilidad proactiva introducido por el RGPD (Privacy by Design & Privacy by Default) supone que el responsable deba realizar una identificación, análisis y valoración del riesgo de todos sus tratamientos de datos.
Dicho análisis deberá tener en cuenta, entre otras variables, la tipología de tratamientos efectuados por su responsable, la naturaleza de los datos tratados, el número de interesados afectados, las tecnologías y/o aplicaciones utilizadas en el tratamiento.
Determinadas medidas únicamente deberán adoptarse si el tratamiento analizado puede conllevar un alto riesgo para los derechos y libertades de los afectados, con el objeto de mitigar o reducir, en la medida de lo posible, dicho escenario de riesgo.
Una de dichas medidas podrá consistir en la realización de una Evaluación de Impacto sobre la Protección de Datos (“EIPD”), siguiendo para ello los criterios y las metodologías establecidos por el RGPD y las distintas autoridades nacionales de protección de datos.
En su caso, la EIPD deberá realizarse antes de iniciar el proyecto, sistema o proceso que justifique la realización de la misma, cumpliendo de esta forma con el principio de Privacy by Design. Dicha evaluación deberá revisarse con cierta periodicidad, y especialmente si se producen cambios sustanciales en las operaciones de tratamiento, a raíz, por ejemplo, de la introducción de nuevas tecnologías, nuevos datos, etc.
Por tanto, el modelo de medidas de seguridad incluido en el Real Decreto 1720/2007, de 21 de diciembre, perderá de forma automática su vigencia cuando el RGPD sea plenamente aplicable.
2. Nuevos modelos de clausulado informativo y de consentimiento
Los responsables del tratamiento deberán revisar todos los modelos de clausulado a través de los cuales se informa y, en su caso, se obtiene el consentimiento de los interesados, dado que los mismos deberán reflejar los requisitos y/o nuevos derechos que el RGPD introduce.
Entre otros aspectos, deberá informarse acerca de la base jurídica que legitima el tratamiento, el periodo de conservación de los datos, así como de los derechos a la portabilidad de datos y la limitación del tratamiento.
El RGPD no admite formas de consentimiento tácito, basados en la inacción del destinatario, por lo que será necesario revisar que el consentimiento sea inequívoco y explícito. Podrá ser otorgado mediante una declaración por escrito, inclusive por medios electrónicos, manteniéndose la opción de la casilla no premarcada, o mediante una declaración verbal.
En consecuencia, todos los tratamientos de datos iniciados con anterioridad a la fecha de aplicación del RGPD sobre la base de un consentimiento tácito, deberán ser revisados y adecuados a la nueva normativa.
El notable incremento de las sanciones previstas en este nuevo Marco Legal hace imperativo adecuar con suficiente antelación nuestras empresas, dado que se prevén sanciones de hasta 20 millones de euros o el 4% del volumen de negocio total anual.
En próximas circulares del departamento TIC de JAUSAS abordaremos los pasos a seguir en este proceso.