Despacho socio de:

Socios Hispajuris
A partir del 25 de mayo de 2018, el Reglamento General de Protección de Datos Personales (RGPD) será de obligado cumplimiento para todos, y el mismo trae de la mano importantes novedades que deberemos conocer con el fin de cumplir adecuadamente con el mismo, de modo que en el presente artículo hablaremos de algunas de ellas.

En primer lugar, una de las principales novedades que presenta el nuevo Reglamento es en materia de consentimiento, pues a partir del 25 de mayo de 2018 para poder recoger y tratar datos personales será necesario contar con el consentimiento expreso de los interesados, que se deducirá de una acción o acto afirmativo claro del mismo. De este modo, ya no será válido el consentimiento tácito o el silencio de los ciudadanos para tratar sus datos –y que sí era válido bajo el régimen de la LOPD-. Además, vamos a tener que recoger el consentimiento de los ciudadanos o bien por escrito, o bien por un medio que permita su posterior reproducción, pues resultará obligatorio poder acreditar en una auditoría que el titular de los datos nos había autorizado previamente al tratamiento de los mismos.

Otro aspecto importante es que el nuevo Reglamento exige que se obtenga el consentimiento de los interesados para cada una de las finalidades de tratamiento, es decir, que si un cliente ha contratado los servicios de nuestra empresa para que le prestemos un determinado servicio, si queremos también enviarle información comercial o publicidad, obligatoriamente deberemos también obtener el consentimiento del interesado para tratar su datos con fines comerciales, y en caso de no tenerlo, no será lícito el envío de esa publicidad.

Otra gran novedad que presenta el RGPD es en materia de derechos de los ciudadanos en relación con sus datos personales. Bajo el régimen de la LOPD existían los derechos ARCO (acceso, rectificación, cancelación y oposición). Pues bien, con el nuevo Reglamento surgen nuevos derechos en materia de protección de datos, que son el derecho al olvido, el derecho a la portabilidad de los datos y el derecho a la limitación del tratamiento.

Además, cuando se proceda a la recogida del tratamiento de datos personales, la información que habremos de otorgar a los interesados es mayor y más exigente que la que se exigía hasta el momento con la LOPD, de modo que surge la necesidad de modificar todos los documentos contractuales con los que trabajamos habitualmente, pues recordemos que esta exigencia del derecho de información no sólo afecta a nuestra relación con los clientes, sino que también deberemos informar a trabajadores, a candidatos a puestos vacantes, proveedores etc.

Además, el nuevo Reglamento obliga a realizar un análisis de riesgos de los datos personales tratados, con la finalidad de establecer medidas de seguridad y control para garantizar los derechos y libertades de las personas, que deberá quedar debidamente documentado. Del resultado del análisis de riesgos se concluirá si es necesario o no realizar una evaluación de impacto, teniendo en cuenta que en caso de concluir que la evaluación de impacto no es necesaria habremos también de documentar por qué y cómo se ha llegado a esa conclusión.

El nuevo RGPD también establece la obligación de llevar a cabo un registro de actividades de tratamiento si concurren determinadas circunstancias previstas en el Reglamento, y se elimina la obligación de inscribir ficheros en la Agencia Española de Protección de Datos.

Asimismo, el nuevo Reglamento obliga a todas las empresas a adoptar medidas de seguridad y control adecuadas que garanticen la integridad y confidencialidad de los datos que tratamos, siendo obligatorio realizar un seguimiento de las mismas.

Por otro lado, se crea la figura del Delegado de Protección de Datos (Data Protection Officer), cuya presencia será obligatoria si concurren determinadas circunstancias que prevé el Reglamento.

Otra novedad importante que debemos tener presente es que si se produce una intromisión ilegítima en los datos personales que tratamos, esta brecha de seguridad habrá de comunicarse a la Agencia Española de Protección de Datos (AEPD) así como al interesado cuyos datos se hayan puesto en peligro en un plazo máximo de 72 horas desde que se haya tenido conocimiento de ello.

Por último, no podemos finalizar este artículo sin mencionar el notable incremento de las sanciones para casos de incumplimiento, que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de negocio del ejercicio anterior, optando siempre el Reglamento por la sanción de mayor cuantía.

En definitiva, estas son sólo algunas de las novedades que ofrece el Reglamento Europeo de Protección de Datos y que deberemos cumplir a partir del 25 de mayo de 2018, entre otros motivos, para evitar la imposición de las altas sanciones a las que acabamos de hacer referencia.

Cristina Martínez-Casanueva.
Abogada

Abogados especialistas en Ley de Protección de Datos

"*" señala los campos obligatorios

Vamos a proceder a la recogida de sus datos, por favor, lea atentamente nuestra política de privacidad.
Este campo es un campo de validación y debe quedar sin cambios.