Lo que tienes que saber del nuevo Reglamento de Protección de Datos

He aquí los aspectos esenciales que tienes que saber de la nueva normativa:

1- El principio de responsabilidad activa

Este principio requiere que las compañías analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

2.- El enfoque de riesgo

El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.

3.- Consentimiento inequívoco

A diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción. Se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito como son en el tratamiento de datos sensibles, la adopción de decisiones automatizadas y las transferencias internacionales.

4.- Transparencia e información

La información a los interesados, tanto respecto a las condiciones de los tratamientos que les afecten como en las respuestas a los ejercicios de derechos, deberá proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales. Las clausulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.

5.- Derecho de acceso y derecho al olvido

Con carácter general, los responsables deben facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos. La nueva normativa reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento y también a que el cliente pueda solicitar que sus datos sean eliminados cuando estos ya no sean necesarios para la finalidad con la que fueron recogidos.

6.- Limitación de tratamiento

Supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían.

Lo que tienes que saber del nuevo Reglamento de Protección de Datos

7.- Portabilidad

El derecho a la portabilidad de los datos es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica. Implica que los datos personales del interesado se transmiten directamente de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado, siempre que ello sea técnicamente posible.

8.- Registro de actividades de tratamiento

Responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD y que contenga cuestiones como: nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese, finalidades del tratamiento, descripción de categorías de interesados y categorías de datos personales tratados, transferencias internacionales de datos…

9.- Violaciones de seguridad de los datos

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.

10.- Delegado de protección de datos

Esta figura es obligatoria en autoridades y organismos públicos, responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala, responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles. El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Debe tener conocimientos jurídicos y en materia de tecnología aplicada al tratamiento de datos.