De lunes a viernes de 06:00 a 22:00h · Sábados, domingos y festivos de 09:00 a 21:00h
Servicios
Home / Blog Arriaga y Asociados / RGPD – Conoce la Nueva Ley de Protección de Datos

RGPD – Conoce la Nueva Ley de Protección de Datos

Autor: Equipo Arriaga

agencia española de proteccion de datos

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos y en Arriaga Asociados ya hemos puesto en marcha todos los mecanismos necesarios para asegurarnos de que estamos cumpliendo con la ley y por tanto, con la protección de tus datos.

 

El nuevo Reglamento General de Protección de Datos

El nuevo Reglamento General de Protección de Datos (RGPD), que sustituye a nuestra actual Ley Orgánica de Protección de Datos, resultará de obligado cumplimiento para todas las empresas de la Unión Europea o que traten datos de ciudadanos de la UE a partir del próximo 25 de mayo de 2018.

El RGPD establece el nuevo marco regulatorio en materia de recopilación, tratamiento, cesión, conservación y seguridad de datos.

La aplicación del RGPD conlleva importantes novedades para proteger tu privacidad. Las empresas tendrán que preocuparse por el respeto a la intimidad de los usuarios frente a sus propios intereses comerciales.

 

Principales novedades del RGPD

Principio de responsabilidad proactiva. Cumplir y demostrar que se cumple.

A diferencia de la antigua Ley Orgánica de Protección de Datos y Reglamento de desarrollo, los cuales establecían de forma tasada las medidas de seguridad que las empresas debían implantar para cumplir con la norma, el RGPD no establece las medidas necesarias para cumplir. El RGPD obliga a las empresas a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma. Ejemplos de esto es la desaparición de la inscripción de ficheros, del documento de seguridad, de los niveles de seguridad o de las auditorías bianuales obligatorias.

A partir de ahora, las empresas cuentan con discrecionalidad para cumplir con los principios de protección de datos contenidos en el RGPD, y serán libres de establecer políticas, procedimientos y medidas de seguridad que consideren adecuadas para garantizar la confidencialidad y seguridad del tratamiento.

Esto supone la llegada del Compliance a la protección de datos. Las empresas establecerán, desde un enfoque basado en el riesgo, las medidas que consideren adecuadas y los controles necesarios para garantizar su cumplimiento, generando las evidencias que permitan demostrar el cumplimiento del RGPD.

Protección de datos por defecto y desde el diseño

El RGPD requiere a las empresas para que implanten la protección de datos desde el diseño de todos aquellos productos, servicios o procesos que impliquen el tratamiento de datos personales. La protección de datos deberá ser un aspecto más a tener en cuenta en la estrategia de la empresa, formará parte de ella de manera natural.

Delegado de Protección de datos (DPD)

Esta figura es una de las medidas de responsabilidad activa que las empresas deberán implantar. El DPD, conocido en inglés como DPO (Data protection Officer), deberá contar con conocimientos especializados en derecho y protección de datos, y será el encargado de informar, asesorar y supervisar el cumplimiento del RGPD en la empresa. Aunque no todas las empresas estarán obligadas a nombrar un DPD, se considera una práctica y una medida de control adicional que es recomendable implantar ¡en Arriaga Asociados incorporamos esta figura hace unos meses!

Consentimientos

Con el RGPD, se acabaron los ‘packs’ de consentimientos y la obligación de tener que aceptar condiciones con finalidades abusivas a la hora de contratar un servicio.  A partir de ahora, en vez de hacer un clic para aceptar la política de privacidad, tendrás que hacer dos o más. 

Con la nueva normativa, las empresas tendrán que dar opción al usuario de aceptar o rechazar expresamente el tratamiento de sus datos para finalidades que no sean imprescindibles para prestar el servicio contratado. El consentimiento prestado deberá ser libre, informado, específico, inequívoco y en formato duradero. No se considerará prestado el consentimiento mediante el silencio, las casillas premarcadas, la inacción del interesado ni el consentimiento tácito.

Deber de informar

Se deberá informar a los usuarios de forma transparente, concisa e inteligible de los aspectos más relevantes respecto del tratamiento de sus datos. Las políticas de privacidad serán más claras y sencillas para evitar lo que veníamos haciendo anteriormente, aceptarlas sin leer por su complejidad.

Nuevos derechos

Para proteger tu intimidad el RGPD refuerza tus derechos. Además de los que se recogían hasta ahora: acceso, rectificación, cancelación y oposición, se incluyen dos nuevos derechos:

  • Limitación: que nuestros datos sean conservados, pero sin ser tratados durante cierto tiempo por diversos motivos como, por ejemplo, mientras se verifica si los datos son inexactos o mientras se plantea una denuncia o reclamación.
  • Portabilidad: posibilidad de trasladar nuestros datos de un proveedor de servicios a otro, siempre y cuando sea técnicamente viable, en un formato estructurado y de uso común.

Brechas de seguridad

El RGPD obliga a las empresas a establecer medidas que les permitan detectar fugas de datos o fallos de seguridad. Estas incidencias deberán ser convenientemente evaluadas y documentadas. Las empresas, en determinados caso, deberán comunicar a la Agencia Española de Protección de Datos las Brechas de Seguridad en el plazo de 72 horas, por lo que deberán estar preparadas para detectar las brechas y realizar la comunicación en plazo.

Sanciones

El RGPD incrementa las sanciones que pueden imponerse por incumplir con la norma. La LOPD fijaba la sanción máxima en 600.000 €. Ahora, con el RGPD, las sanciones podrán ser de hasta 20.000.000 € o el 4% del volumen de negocio total anual del ejercicio anterior, en caso de empresas, optándose por la de mayor cuantía.

 

¿Cómo afecta el RGPD a las empresas?¿Qué tengo que hacer para cumplir el RGPD en mi empresa?

La implantación del RGPD en las empresas es compleja, debido al cambio de modelo basado en el principio de responsabilidad proactiva. Como primer paso, las empresas deben evaluar si están obligadas a nombrar un DPD.

El RGPD obliga a las empresas a elaborar un registro de los tratamientos de datos que se llevan a cabo. Esto implica recopilar y documentar todos los tratamientos, datos que implican, finalidades, base legal de los mismos, cesiones, encargados del tratamiento y todas aquellas circunstancias que los afecten.

Una vez recopilados los tratamientos recomendamos, siempre desde un enfoque basado en el riesgo, evaluar las medidas de seguridad existentes. Valorar si son adecuadas para cumplir con el RGPD o, por el contrario, necesitan implantarse medidas adicionales. También se deberá estudiar si es necesario realizar evaluaciones de impacto de protección de datos, en función de las características de los tratamientos que se realizan en la empresa.

Además, las empresas deberán documentar la totalidad del modelo mediante manuales, políticas y procedimientos, así como generar las evidencias que permitan demostrar que cumple con el RGPD.

Por último, el modelo deberá ser evaluado periódicamente, con el fin de detectar incidencias o nuevos riesgos de incumplimiento.

Si tienes dudas sobre el nuevo reglamento o cualquier otra duda legal, puedes ponerte en contacto con nosotros en el 900 264 600 o  a través de contacto@arriagaasociados.com

 

Comentarios (0)
Déjanos tu opinion

*

*

contacta con nosotros
Whatsapp
668 887 400
Agrega nuestro número a tu agenda y comunicate con nosotros por Whatsapp.
Horario:
Lunes a viernes de 9:00 a 19:00h.