El nuevo Reglamento de Protección de Datos entra en vigor el próximo 25 de mayo de 2018 y la Agencia Española de Protección de Datos explica en su página web ciertas cuestiones que son de interés para todas las empresas.
En lo que a nuestros clientes interesa el precitado reglamento se aplicará a TODOS los responsables o encargados de tratamiento de datos establecidos en la Unión Europea.
El Reglamento introduce nuevos derechos para los titulares de los datos como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
Uno de los aspectos más importantes del Reglamento es que éste impone una obligación de prevención a los sujetos que tratan datos. . Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. Para cumplir correctamente con dicha obligación, el Reglamento prevé una batería completa de medidas:
- Protección de datos desde el diseño
- Protección de datos por defecto
- Medidas de seguridad
- Mantenimiento de un registro de tratamientos
- Realización de evaluaciones de impacto sobre la protección de datos
- Nombramiento de un delegado de protección de datos
- Notificación de violaciones de la seguridad de los datos
- Promoción de códigos de conducta y esquemas de certificación.
Siendo esto así, la entrada en vigor del Reglamento, supone un mayor compromiso de los sujetos con la protección de datos, que en muchos casos implicará una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.
En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.
Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.
En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.
Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.
Éstas son unas cuantas muestras de las nuevas obligaciones que se nos vienen a todas las empresas, autónomos y resto de sujetos que tratamos datos de terceros y sería, muy conveniente, comenzar a adaptar los sistemas de protección de datos y protocolos existentes a la nueva legislación que se nos viene encima.