El Reglamento General de Protección de datos, será el nuevo marco jurídico de la UE que regirá el uso de los datos personales a partir de su entrada en vigor el 25 de mayo de 2018.
1.- Qué significa este cambio normativo?
En el periodo de dos años desde su publicación hasta su entrada en vigor, los países miembros pueden iniciar la elaboración de determinadas normas para la aplicación del Reglamento, pueden prepararse y adaptarse a sus novedades hasta que sea aplicable. Este Reglamento deroga la actual Directiva, 95/46, será directamente aplicable a todos los países miembros de la UE, mientras tanto, en España, se seguirá aplicando la LOPD y su Reglamento de desarrollo RD 1720/2007. De no dictarse ninguna Ley nueva, dicha normativa convivirá con el Reglamento en todo lo que éste no ha previsto y siempre que no lo contradiga, siendo derogado todo lo que sí.
2.- Qué es la responsabilidad activa en el sistema de protección de datos
Uno de los aspectos principales en los que el Reglamento basa el nuevo sistema de protección de datos es lo que se conoce como Responsabilidad Activa, es decir, la prevención por parte de las organizaciones respecto a las obligaciones que se imponen con el tratamiento de datos, lo que supone que las empresas deben adoptar medidas que aseguren y acrediten que están en condiciones de cumplir con los principios, derechos y garantías que establece el Reglamento.
Lo que se pretende con este nuevo principio es evitar que las empresas actúen solo cuando se ha producido la infracción, ya que los daños o perjuicios que se hayan generado serán de muy difícil o imposible solución.
https://youtu.be/o5Px6tkh6qM
3.- Qué novedades supone el nuevo reglamento respecto a los clausulados de solicitud de consentimiento para el tratamiento de datos?
El Reglamento pide que el consentimiento sea libre, informado, específico e inequívoco. Esto supondrá que los clausulados deberán informar de manera clara, especificando y detallando las finalidades, no dando lugar a confusiones y permitiendo que el afectado confirme expresamente su voluntad. Dejarán de considerarse válidos los “consentimientos tácitos”, o textos muy genéricos donde no se deduzcan los usos previstos y, sin duda, no se podrá admitir un consentimiento derivado de la inacción o el silencio.
Además, será necesario añadir información adicional a la facilitada hasta el momento, por lo que será uno de los puntos a empezar a actualizar a fin de que el Reglamento no coja desprevenidas a las empresas.
4.- Obligatoriedad y funciones del Delegado de Seguridad (DPO)
En el nuevo Reglamento aparece la obligación de contratar un Delegado de Protección de Datos (DPO), esto es una persona con conocimientos especializados en Derecho y en la práctica en materia de protección de datos. El Grupo de Trabajo del Artículo 29 (“GT29”), ha publicado recientemente unas Directrices para facilitar la interpretación de esta figura, por las dudas que ha generado.
Todas las Entidades públicas deberán contar con un DPO y en el sector privado las empresas que realicen un tratamiento de datos de categorías especiales o bien relativos a condenas o infracciones penales, de forma sistemática, habitual y masiva.
El DPO podrá ser un empleado del responsable del tratamiento o no, pero, en todo caso, deberá estar en condiciones de desempeñar sus funciones de manera independiente. De hecho, se enumeran una serie de cargos dentro de la empresa que son incompatibles con la función de DPO: Director Financiero, Responsable de Operaciones, Jefe de Servicio Médico, director del Departamento de Marketing o Director de Recursos Humanos.
Algunas funciones del Delegado de Seguridad serán la identificación de las operaciones de tratamiento realizadas por la empresa, verificar el cumplimiento del RGPD en dichas operaciones de tratamiento y proponer las medidas necesarias para garantizar su cumplimiento.
Las entidades serán directamente responsables ante un incumplimiento del RGPD, sin que exista, en ningún caso, una responsabilidad personal del DPO.
