Como ya hemos comentado en otras ocasiones, el nuevo Reglamento de Protección de Datos (RGPD) comenzará a aplicarse el 25 de mayo de 2018.
Como novedades más destacadas podemos comentar «el principio de responsabilidad proactiva».
Cada empresa deberá analizar los datos que trate, con que finalidad y que operaciones de tratamiento realiza. A partir de aquí deberá determinar que medidas son las adecuadas para cumplir con RGPD.
Este nuevo RGPD no admite los consentimientos tácitos o por omisión. El consentimiento debe ser «inequívoco».
Otra novedad es el derecho al olvido. Está dirigido a un entorno digital. Ejerciendo este derecho no se borra la información original, pero si la indexación en internet. Por ejemplo, si hemos salido en una noticia en un periódico digital y ejercemos nuestro derecho al olvido los buscadores deberán eliminar la indexación, aunque el artículo siga estando en internet. Esto quiere decir que si alguien introduce nuestro nombre en internet no se dirigirá a la noticia si hemos ejercido el derecho al olvido.
Por otra parte el nuevo reglamento contiene obligaciones específicas para los encargados del tratamiento:
- Deberán mantener un registro de las actividades del tratamiento.
- Deberán determinar las medidas de seguridad aplicables a los tratamientos que realicen.
- Designarán un delegado de protección de datos en los casos previstos por el RGPD.
Las relaciones entre el responsable y el encargado del tratamiento deberán formalizarse mediante un contrato donde se especifique el objeto, duración y finalidad del tratamiento, tipo de datos personales, obligación del encargado de tratar los datos únicamente según las instrucciones del responsable, condiciones por las que el responsable pueda autorizar a las subcontrataciones, etc. Este es un punto importante dado que la mayoría de PYMES y autónomos tienen contratados a asesorías contables, fiscales y laborales por lo cual deben tener estos contratos al día según las especificaciones del RGPD.
Dentro de las medidas de «Responsabilidad activa» está «el análisis de riesgo«. Esto quiere decir que será el responsable del tratamiento quién valore el riesgo inicial de los tratamientos de datos que realiza y determinar que medidas debe aplicar en función del nivel y tipo de riesgo. En contraposición con el anterior reglamento que establecía las medidas a adoptar, con el nuevo reglamento serán los responsables y encargados del tratamiento quienes deberán establecer estas medidas, con el riesgo que esto conlleva en caso de no realizarse correctamente.
Otra novedad es que se deberá notificar a la Autoridad de Protección de Datos cualquier violación de la seguridad de los mismos.
También cabe destacar la figura del Delegado de Protección de Datos o DPO, el cual será obligatorio en organismos públicos, en responsables y encargados que traten datos a gran escala, etc. Deberá contar con un determinado perfil profesional.