El Reglamento entró en vigor el 25 de mayo de 2018 y en diciembre entró en vigor la Ley Orgánica de Protección y Garantía de los Derechos Digitales (LOPDGDD).
Empresas u organizaciones sujetas a la nueva normativa
El RGPD y la LOPDGDD se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.
El ámbito de aplicación territorial
Esta novedad supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de Internet.
Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.
La responsabilidad activa recogida en el Reglamento
Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:
– Protección de datos desde el diseño
– Protección de datos por defecto
– Medidas de seguridad
– Mantenimiento de un registro de tratamientos
– Realización de evaluaciones de impacto sobre la protección de datos
– Nombramiento de un delegado de protección de datos
– Notificación de violaciones de la seguridad de los datos
– Promoción de códigos de conducta y esquemas de certificación.
Cambia la forma en la que hay que obtener el consentimiento
Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es ?inequívoco?, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.
Además, el Reglamento prevé que el consentimiento haya de ser ?explícito? en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.
Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
Auditorías, Análisis de riesgos y Evaluación de impacto en la Protección de Datos
La adaptación a la normativa en protección de datos no tiene por qué ser anual, sino que debe ser permanente y requiere de una labor continua de asesoramiento y auditoría, siempre dependiendo de la tipología de los datos tratados y la actividad de la empresa que los trata, para garantizar que la adecuación a la normativa se mantenga adecuada y actualizada.
Utilizamos cookies propias y de terceros para fines analíticos y para mostrarle publicidad personalizada en base a un perfil elaborado a partir de sus hábitos de navegación (por ejemplo, páginas visitadas). Puede cambiar los ajustes en "Ajustes de las Cookies". Para obtener más información puede consultar nuestra Política de Cookies
Las cookies necesarias ayudan a hacer que una web sea utilizable al activar funciones básicas, como la navegación por la página y el acceso a áreas seguras de la web. La web no puede funcionar correctamente sin estas cookies.
No se usan cookies de este tipo.
Las cookies de marketing se utilizan para rastrear a los visitantes a través de las webs. La intención es mostrar anuncios que sean relevantes y atractivos para el usuario individual y, por tanto, más valiosos para los editores y los anunciantes de terceros.
No se usan cookies de este tipo.
Las cookies de análisis ayudan a los propietarios de las webs a comprender cómo interactúan los visitantes con las webs recopilando y facilitando información de forma anónima.
No se usan cookies de este tipo.
Las cookies de preferencias permiten a una web recordar información que cambia la forma en que se comporta o se ve la web, como tu idioma preferido o la región en la que te encuentras.
No se usan cookies de este tipo.
Las cookies no clasificadas son cookies que estamos procesando para clasificar, conjuntamente con los proveedores de cookies individuales.
No se usan cookies de este tipo.
Las cookies son pequeños archivos de texto que pueden ser usados por las webs para hacer más eficiente la experiencia del usuario. La ley establece que podemos almacenar cookies en tu dispositivo si son estrictamente necesarias para el funcionamiento de este sitio. Para todos los demás tipos de cookies, necesitamos tu permiso. Este sitio utiliza diferentes tipos de cookies. Algunas cookies son colocadas por los servicios de terceros que aparecen en nuestras páginas.
