¿Qué es el RGPD?

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzó a aplicarse el 25 de mayo de 2018.

En este nuevo Reglamento Europeo 2016/679, (RGPD), la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos que describe

Así, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto o actúe con responsabilidad activa en relación con el tratamiento que de los datos personales se realice en su organización.

Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y al tratamiento de datos personales, permitir a los interesados supervisar el tratamiento de datos o crear y mejorar elementos de seguridad.

El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos que realizan son conformes con el Reglamento; y lo que supone más impacto, deben estar en condiciones de demostrarlo.

Además condiciona la adopción de las medidas de responsabilidad activa al riesgo que los tratamientos puedan suponer para los derechos y libertades de los interesados y así, en algunos casos, prevé que determinadas medidas solo deberán aplicarse cuando el tratamiento suponga un alto riesgo (por ejemplo tras Evaluaciones de Impacto sobre la Protección de Datos) y en otros casos, las medidas deberán modularse en función del nivel y tipo de riesgo que el tratamiento conlleve (por ejemplo, con las medidas de protección de datos desde el diseño o con las medidas de seguridad).

 

¿Qué se exige con el nuevo reglamento?

Preliminarmente, el RGPD establece novedades respecto a LOPD vigente en España:

  1. REGISTRO DE ACTIVIDADES: sustituye a la obligación de inscribir ficheros de la LOPD, se trata de elaborar un registre que aporte la información suficiente de como ese tratan los datos de carácter personal, debe estar a disposición de la AEPD. Es demostrar el conocimiento del ciclo de vida de un dato: como lo obtenemos, como lo tratamos, a donde lo comunicamos, y cuanto tiempo lo vamos a conservar.
  2. FINALIDAD y LEGITIMACIÓN: de la finalidad para la que se recaban los datos, y poder justificar la legitimación para poder tratarlos
  3. CONSENTIMIENTO: desaparece el consentimiento tácito, a partir de ahora se debe demostrar el que consentimiento fue otorgado, y que se ha informado de forma clara y concisa de los tratamientos de datos
  4. ENCARGADOS DE TRATAMIENTO: mayor implicación del responsable a la hora de seleccionar que empresas acceden a sus datos
  5. CATEGORIAS DE LOS DATOS: serán a partir de ahora básicos o especialmente protegidos, entrando en esta categoría: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos, datos genéticos y biométricos encaminados a identificar a una persona, datos de salud, vida u orientación sexual de una persona.
  6. TRATAMIENTOS MASIVOS: los tratamientos masivos o gran escala tienen una cosideración especial en la nueva normativa
  7. DERECHOS DE LOS AFECTADOS: se establecen los siguientes derechos:
    1. Acceso, Rectificación, Cancelación y Oposición: quedan establecidos en casi los mismos términos que la LOPD
    2. Olvido: es la formulación de los derechos de cancelación y oposición al tratamiento de datos on-line.
    3. Portabilidad: Para servicios cloud, es el derecho a obtener la información de manera estructurada y legible en formato compatible con otros sistemas.
    4. Limitación de tratamiento: se supone que a petición del interesado no se le aplicaran a sus datos ciertos tratamientos.
  8. PRIVACIDAD POR DISEÑO Y POR DEFECTO: en esencia se trata de que cualquier tratamiento debe tener en cuenta el cumplimiento de la normativa, ya en su fase inicial.
  9. SEGURIDAD DE LOS TRATAMIENTOS: cada responsable deberá adoptar aquellas medidas técnicas que garantice el nivel de seguridad apropiado al riesgo que conlleva el tratamiento de datos atendiendo a la naturaleza, finalidades, ámbito y contexto del mismo, para garantizar en todo momento los derechos y libertades de los individuos afectados.
  10. NOTIFICACION DE BRECHAS DE SEGURIDAD: en un plazo de 72 horas a la AEPD.
  11. EVALUACION DE IMPACTO EN PRIVACIDAD: Atendiendo a la naturaleza, ámbito, finalidades y contexto del tratamiento, cuando exista un alto riesgo para los derechos y libertades de los individuos deberá generarse un análisis del tratamiento y las medidas de seguridad que deben implementarse.
  12. DELEGADO DE PROTECCION DE DATOS: Profesional especializado en protección de datos, que asume la responsabilidad de la implementación de todo lo relativo en RGPD en las empresas/entidades.
  13. SANCIONES: Dependiendo del articulo del RGPD que se ha vulnerado pueden llegar desde los 10 millones de euros o el 2% de la facturación bruta anual a nivel mundial, hasta los 20 millones o el 4%.