Los 10 puntos claves del Reglamento (UE) General de Protección de Datos:
1.Responsabilidad activa
Las empresas deberán tomar medidas apropiadas y eficaces para garantizar la protección de los datos personales y poder demostrar su cumplimiento.
2. Nombrar un Delegado de Protección de Datos (DPO)
Es la persona encargada de velar y supervisar el cumplimiento normativo por parte de la entidad/empresa y deberá nombrarse, de forma obligatoria, o voluntaria, dependiendo de cada compañía y de los tratamientos que realice.
3. Tener en cuenta la privacidad desde el diseño
Se debe asegurar la conformidad de los tratamientos de datos personales a la legislación desde el mismo momento en que se crea un nuevo servicio (dispositivos de pseudo-anonimización, cifrado o aplicación del principio de minimización de datos, deben ser igualmente tenidos en cuenta, de acuerdo con el principi de privacy by design.
4. Estar atento a las transferencias de datos personales
Por norma general, la transferencia de datos personales fuera de la Unión Europea está prohibida. Sin embargo, existen ciertas excepciones para encabar estas transferencias (Binding Corporate Rules, Cláusulas contractuales tipo, Privacy Shield para las compañías estadounidenses, etc.). Es conveniente revisar los contratos y las formalidades realizadas ante las autoridades de control.
5. El nuevo derecho de portabilidad y sus caracterísitcas
Este nuevo derecho creado por el RGPD permite a todas las personas recuperar los datos personales recogidos por un responsable A para transferirlos a otro responsable B. Tiene como objetivo devolver a las personas el control sobre el principio de autodeterminación informativa y estimular así la competencia. Su implementación debe enmarcarse de acuerdo con la propiedad intelectual para permitir que cada prestador de servicios preserve sus propios datos
6. Consentimiento expreso
El RGPD refuerza el consentimiento. Acompañando múltiples obligaciones y excepciones, le corresponde al responsable y al encargado del tratamiento demostrar que ha recabado el consentimiento antes de iniciar cualquier tratamiento.
7. Precauiones con la creación de perfiles
La creación de perfiles es uno de los grandes desafíos del Big Data asociados a algoritmos predictivos. Se refiere al diseño del análisis y predicción del comportamiento, compras, el rendimiento, los desplazamientos, las preferencias, etc. de una persona física.
El RGPD contempla esta técnica, susceptible de atentar gravemente contra los derechos fundamentales. Por lo tanto, cuando se quiera crear perfiles, deberán acompañarse de un estudio de impacto.
8. Medidas de Seguridad
La seguridad de los datos es objeto diario de ataques masivos: ataque informático, robo de datos, negligencia. El RGPD impone una obligación de seguridad global al responsable del tratamiento, pero también a los encargados del tratamiento. Los datos especialmente protegidos (p.ej. salud) incluirán medidas de seguridad especiales, así como una evaluación de impacto (PIA).
9. Certificación
Con el RGPD, el proceso de etiquetado y certificación se extiende a todos los interesados. Por ejemplo, la privacidad por diseño de un servicio puede ser objeto de un certificado. Este es un beneficio económico y una marca de confianza.
10. Llevar a cabo una Evaluación de Impacto
Es una herramienta para analizar el impacto que tiene un tratamiento sobre la privacidad de las personas. La Evaluación de Impacto se puede realizar sobre cualquier tratamiento de datos personales. Es un documento clave que deben tener las organizaciones y que se encuadra dentro de su gestión de riesgos. Es obligatorio tanto para las empresas responsables de tratamientos como para las encargadas de tratamiento dependiendo de las actividades que se realicen. Esto puede demostrar su cumplimiento y limitar su responsabilidad en caso de ser requerido por una Autoridad de Control.
En Digital Lex le ayudamos a adaptarse a las nuevas obligaciones del Reglamento Europeo General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales para evitar las elevadas sanciones que impone su incumplimiento.