Reglamento europeo de protección de datos: resumen

El Reglamento General de Protección de Datos (RGPD) es un nuevo marco jurídico sobre la protección de los datos personales y sobre su libre circulación. Entró en vigor el 25 de mayo de 2016 (art. 99 RGPD), pero será aplicable a partir del 25 de mayo de 2018. Durante esto dos años, las empresas han tenido que adaptarse, o en está en proceso de adaptación.

 

Nuevo reglamento europeo de protección de datos

 

¿En qué consiste? 

Este reglamento de la ley de protección de datos personales está elaborada para otorgar una mayor seguridad y un mejor control a las personas sobre su información personal. Además, pretende establecer unas reglas comunes sobre protección de datos en toda Europa.

Hasta la entrada en vigor del RGPD, tanto la Directiva 95/46/CE como las normas internas de los países de la UE seguirán siendo aplicables, incluida la LOPD española.

En este artículo veremos un resumen de la ley de protección de datos (RGPD) con las novedades que debes saber para adaptar tu negocio al nuevo reglamento de la ley de protección de datos personales. Podrás encontrar enlaces a formularios, consejos, fechas límite, etc. Todo para simplificar y entender mejor cómo adaptar tu negocio a la nueva ley europea de protección de datos, o el reglamento de desarrollo de la LOPD.

Nueva ley de protección de datos personales en resumen con las novedades y claves importantes que las empresas deben tener en cuenta. Así como ofrecemos guías de apoyo y plantillas, para la mejor adaptación de las organizaciones. Fácil y sencillo 😉

 

 

¿Quiénes deben cumplir con el nuevo reglamento general de protección de datos?

 

Este reglamento europeo de protección de datos afecta a todas las empresas españolas. Además, el RGPD incluye también a las entidades que ejerzan su actividad fuera de la Unión Europea.

El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

La nueva ley de privacidad de datos afectará a todas estas entidades que estuvieran dentro de la Unión Europea:

• Sociedades
• Autónomos
• Comunidades
• Asociaciones
• Administración Pública

Y si estuvieran fuera de la Unión, los encargados del tratamiento para sujetos obligados y aquellos, sean encargados o responsables, que dirijan sus servicios hacia residentes en la Unión, también deberán acogerse al nuevo reglamento europeo de protección de datos.

Más información – Artículo 3 RGPD – Ámbito territorial.

 

Multas por incumplimiento de la nueva ley de protección de datos

Las multas administrativas (art. 83 RGPD) por incumplimiento ascenderán a 20.000.000 de euros máximo, y  el 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, al referirse a una empresa.

El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

 

Delegado de protección de datos

 

Es el primer paso que la mayoría de las empresas deben hacer para adaptarse al reglamento europeo de protección de datos, así como una de las novedades que incluye la RGPD (Sección 4).

La designación del delegado de proyección de datos (DPD, en inglés (DPO, data protection officer) es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, se debe identificar a la persona o los responsables de coordinar la adaptación.

Además, las empresas deberán informar a la autoridad de control correspondiente, y publicarán los datos de contacto del Delegado de Protección de Datos, para que sean accesibles públicamente.

 

Casos en los que es obligatorio designar un delegado de protección de datos (art. 37 RGPD):

a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

 

 

Condiciones y posción del Delegado de Protección de Datos (DPD):

Esta figura toma un papel importante en la RGPD (art. 38), y dispone de una serie de condiciones. En este sentido, la nueva normativa de protección de datos lo refuerza para que el DPD pueda ejercer sin problemas un control interno exhaustivo.

La empresa deberá facilitarle los recursos necesarios para ejercer sus funciones.

No recibirá ninguna instrucción en lo que respecta al desempeño de dichas funciones. […] No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.

Además, el delegado de protección de datos está obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones.

 

Funciones del Delegado de Protección de Datos (DPD):

• Informar y asesorar sobre el cumplimiento del RGPD. Debe quedar constancia de esta documentación.
• Supervisar el cumplimiento de la RGPD.
• Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto de las operaciones relacionadas con la protección de datos personales.
• Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
• Cooperar con la autoridad de control correspondiente.
• Servir como punto de contacto entre la empresa y la autoridad de control.

 

Para dar respuesta a una necesidad tan fundamental, la Asociación Española para la Calidad (AEC), comprometida con la gestión de la Calidad de las organizaciones, ha desarrollado una oferta formativa completa, con programas totalmente adaptados al nivel de experiencia de los profesionales, que permite – tanto a las personas con responsabilidades en la materia como a aquellos profesionales que presten los servicios externamente – una formación robusta y definitiva como DPD/DPO de la mano de especialistas referentes.

 

Otras novedades para la protección de datos en las empresas

 

Además de la figura del Delegado de Protección de Datos como una de las novedades más importantes en este RGPD, las empresas deberán hacer frente también a estas otras novedades del Reglamento Europeo de Protección de Datos:

• Auditoría sobre el estado de la protección de datos en la empresa, antes de comenzar con las operaciones de adecuación al Reglamento. Es decir, antes de actualizar los protocolos, las políticas y los textos relativos al tratamiento de datos personales. Es necesaria la participación de profesionales jurídicos especializados en protección de datos, así como informáticos especializados en seguridad informática.

 

 

• Se amplía la información que deberá facilitarse cuando los datos personales se obtengan del interesado. A los solicitados por la antigua LOPD, se le suman los nuevos del RGPD (art. 13). En total, esta es la información que las empresas deberán tener preparada:
  • la identidad y los datos de contacto del responsable, así como del DPD si lo hubiera
  • finalidad del tratamiento de los datos y la base jurídica del tratamiento
  • destinatarios ficheros
  • si habrá o no trasferencia internacional de datos
  • obligación o no de la entrega y sus consecuencias
  • los derechos del interesado
  • el tiempo máximo que se mantendrán los datos
  • el derecho a presentar una reclamación
  • la existencia o no de decisiones automatizadas
• Actualización de los contratos de los responsables del tratamiento de datos, que las empresas tengan con terceros. Así pues, la Agencia Española de Protección de Datos (AEPD) ha elaborado esta guía y este ejemplo o plantilla de contrato entre Responsables y Encargados de tratamiento.
• Análisis de los riesgos relativos a la protección de datos (art. 25 y 32 RGPD). Todas las empresas deberán elaborar un análisis de las vulnerabilidades informáticas. ¿El propósito? Identificar y definir soluciones a los posibles riesgos.

… el responsable del tratamiento aplicará, tanto en el momento de determinar los medios
de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas…

En la LOPD, se recogían una serie de medidas de seguridad. Sin embargo, el RGPD traspasa este diseño de medidas a la empresa, quien es ahora la primera responsable en definir las medidas y soluciones pertinentes al tratamiento de los riesgos y seguridad de sus datos.

Así pues, es la empresa la que debe establecer y diseñar un sistema de vigilancia que haga revisiones periódicas. Además, tiene en cuenta los cambios tecnológicos que se produzcan en la empresa y en sector informático.

 

 

• Algunas empresas deberán evaluar el impacto que los tratamientos de datos que realizan tienen sobre la protección de datos personales. Esta evaluación sólo la tendrán que hacer las empresas que realicen los siguiente:

a) Una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
b) Un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
c) Una observación sistemática a gran escala de una zona de acceso público.

A esto habría que añadir que esta evaluación de impacto relativa a la protección de datos, también la tendrían que realizar los responsables que se encarguen de operaciones de tratamiento, las cuales entrañen un alto riesgo para las personas.

 

¿Qué diferencia hay entre el análisis de riesgos y la evaluación de impacto?

 

El análisis de riesgos identifica las vulnerabilidades o brechas que puedan existir en el tratamiento de datos de la empresa, con el fin de diseñar soluciones adaptadas a la empresa.

La evaluación de impacto corresponde al tratamiento de los datos personales que puedan poner en peligro los derechos y libertades de personas físicas.

 

Documentación para ayudar a las empresas con el RGPD

 

La Agencia Española de Protección de Datos (AEPD) ha publicado una serie de guías para ayudar a las empresas a adaptarse al nuevo Reglamento General de Protección de Datos:

Guía del Reglamento General de Protección de Datos para responsables de tratamiento.

Guía para el cumplimiento del deber de informar

Guía de seguridad de datos

 

 

 

Para finalizar, con este resumen sobre la nueva ley de protección de datos europea, no te olvides de que…

¡el reglamento europeo de protección de datos, cuya entrada en vigor fue el 25 de mayo de 2016, se aplicará el próximo 25 de mayo de 2018!

 

¿Cómo controlar para que no te pases de plazo?

 

Utiliza tu software de gestión de proyectos, Sinnaps, para planificar en un ‘pis-pas’ cada una de estas actividades con tiempo suficiente como para llegar a tiempo al 25 de mayo de 2018.

Marca los hitos primero, las fecha clave, y luego añade cada actividad. Adjunta la documentación que necesites e invita a los profesionales jurídicos e informáticos, para llevar un control de todo el proceso.

 

Empieza ahora a planificar gratis

 

5 pasos en 3 minutos para tener tu planificación.

 

 

¿Tienes preguntas sobre la nueva ley oficial de protección de datos? ¿Cómo lleva tu empresa esta adaptación? No te cortes, cualquier comentario compartido con todos, sobre la nueva normativa europea LOPD, será bienvenido 😉

 

Te puede interesar…

Técnicas de gestión de tiempo

Control de proyecto

Gestión de costes