ADAPTACIÓN AL RGPD (GDPR)

ADAPTACIÓN AL RGPD (GDPR)

ADAPTACIÓN AL RGPD (GDPR)

 

El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será de aplicación obligatoria a partir del 25 de mayo de 2018. Hasta esta fecha siguen siendo de aplicación la LOPD y la Directiva 95/46/CE.

Este Reglamento pretende contribuir a un fácil intercambio de datos personales dentro de la Unión Europea, teniendo en cuenta tanto la rápida evolución tecnológica y pretendiendo dar seguridad jurídica a los riesgos que supone el uso de Internet.

Desde DIGITAL LEX le ayudamos a adecuarse a las nuevas obligaciones que impone el RGPD y evitar, con ello, las elevadas sanciones que impone por su incumplimiento.

 


Los 10 puntos claves del Reglamento son:
  1. Responsabilidad activa
    Las empresas deberán tomar medidas apropiadas y eficaces para garantizar la protección de los datos personales.
  2. Nombramiento del Delegado de Protección de Datos (DPO)
    Es la persona encargada de velar y supervisar el cumplimiento normativo por parte de la entidad/empresa y el interlocutor en caso de comunicaciones con la autoridad de control.
  3. Privacidad desde el diseño
    Se debe asegurar la conformidad de los tratamientos de datos personales a la legislación desde el mismo momento en que se crea un nuevo servicio (dispositivos de pseudo anonimización, cifrado o aplicación del principio de minimización de datos, deben ser igualmente tenidos en cuenta, de acuerdo con el principio de privacy by design.
  4. Transferencias de datos personales
    Por norma general, la transferencia de datos personales fuera de la Unión Europea está prohibida. Sin embargo, existen ciertas excepciones para encabir estas transferencias (BCR, cláusulas contractuales tipo, Privacy Shield para las compañías estadounidenses, etc.). Es conveniente revisar los contratos y las formalidades realizadas ante las autoridades de control.
  5. Portabilidad
    Este nuevo derecho creado por el RGPD permite a todas las personas recuperar los datos personales recogidos por un responsable A, para transferirlos a otro responsable B. Tiene como objetivo devolver a las personas el control sobre el principio de autodeterminación informativa y estimular así la competencia. Su implementación debe enmarcarse de acuerdo con la propiedad intelectual para permitir que cada prestador de servicios preserve sus propios datos.
  6. Consentimiento
    El RGPD refuerza el consentimiento. Acompañando múltiples obligaciones y excepciones, le corresponde al responsable y al encargado del tratamiento demostrar que ha recabado el consentimiento antes de iniciar cualquier tratamiento.
  7. Creación de perfiles
    La creación de perfiles es uno de los grandes desafíos del Big Data asociados a algoritmos predictivos. Se refiere al diseño del análisis y predicción del comportamiento, compras, el rendimiento, los desplazamientos, las preferencias, etc. de una persona física.
    El RGPD contempla esta técnica, susceptible de atentar gravemente contra los derechos fundamentales. Por lo tanto, cuando se quiera crear perfiles, deberán acompañarse de un estudio de impacto.
  8. Seguridad
    La seguridad de los datos es objeto diario de ataques masivos: ataque informático, robo de datos, negligencia…El RGPD impone una obligación de seguridad global al responsable del tratamiento, pero también a los encargados del tratamiento. Los datos especialmente protegidos (p.ej. salud) incluirán medidas de seguridad especiales, así como una evaluación de impacto (PIA).
  9. Certificación
    Con el RGPD, el proceso de etiquetado y certificación se extiende a todos los interesados. Por ejemplo, la privacidad por diseño de un servicio puede ser objeto de un certificado. Este es un beneficio económico y una marca de confianza.
  10. Evaluación de Impacto (PIA, en inglés)
    Es una herramienta para analizar el impacto que tiene un tratamiento sobre la privacidad de las personas. La Evaluación de Impacto se puede realizar sobre cualquier tratamiento de datos personales. Es un documento clave que deben tener las organizaciones y que se encuadra dentro de su gestión de riesgos y es obligatorio tanto para las empresas responsables de tratamientos como para las encargadas de tratamiento. Esto puede demostrar su cumplimiento y limitar su responsabilidad en caso de ser requerido por una autoridad de control.
Contacte con Digital Lex, abogados especialistas en privacidad